Dit artikel beschrijft DNS-over-HTTPS en hoe u deze functie inschakelt, instellingen bewerkt of uitschakelt.
Inhoudsopgave
- 1 Over DNS-over-HTTPS
- 2 Voordelen
- 3 Risico’s
- 4 Over onze uitrol van DNS over HTTPS
- 5 Opt-out
- 6 DNS-over-HTTPS inschakelen, uitschakelen en instellen
- 7 DNS-over-HTTPS handmatig in- en uitschakelen
- 8 Van provider wisselen
- 9 Specifieke domeinen uitsluiten
- 10 Netwerken configureren om DoH uit te schakelen
- 11 Encrypted Client Hello (ECH)
Over DNS-over-HTTPS
Wanneer u een webadres of domeinnaam in uw adresbalk intypt (bijvoorbeeld: www.mozilla.org), stuurt uw browser een verzoek via het internet om het IP-adres voor die website op te zoeken. Traditioneel wordt dit verzoek naar servers verzonden via een plattetekstverbinding. Deze verbinding is niet versleuteld, waardoor het eenvoudig is voor derden om te zien welke website u gaat bezoeken.
DNS-over-HTTPS (DoH) werkt anders. Het verstuurt de ingetypte domeinnaam naar een DoH-compatibele DNS-server via een versleutelde https-verbinding, in plaats van als platte tekst. Hierdoor kunnen derden niet zien welke websites u wilt bezoeken.
Voordelen
DoH verbetert uw privacy door zoekopdrachten naar domeinen te verbergen voor iedereen die meekijkt op openbare wifi, uw internetprovider of anderen op uw lokale netwerk. DoH zorgt ervoor dat, wanneer ingeschakeld, uw internetprovider persoonlijke gegevens in relatie tot uw surfgedrag niet kan verzamelen en verkopen.
Risico’s
- Sommige personen en organisaties zijn afhankelijk van DNS om malware te blokkeren, ouderlijk toezicht in te schakelen of de toegang tot websites voor uw browser te filteren. Indien ingeschakeld omzeilt DoH uw lokale DNS-server en daarmee dit speciale beleid. Als DoH standaard is ingeschakeld voor gebruikers, dan staat Firefox gebruikers (via instellingen) en organisaties (via bedrijfsbeleid en verkennend domeinzoeken) toe om DoH uit te schakelen als conflicten met voorkeursbeleid ontstaan.
- Als DoH is ingeschakeld, stuurt Firefox standaard DoH-zoekopdrachten naar DNS-servers die worden beheerd door een vertrouwde partner, die de zoekopdrachten van gebruikers kan zien. Mozilla heeft een krachtig Trusted Recursive Resolver (TRR)-beleid dat onze partners verbiedt om persoonlijke gegevens te verzamelen. Om dit risico te beheersen, moeten partners zich contractueel aan dit beleid houden.
- DoH kan langzamer zijn dan traditionele DNS-opdrachten, maar bij testen hebben we gezien dat de impact minimaal is, en in veel gevallen is DoH sneller.
Over onze uitrol van DNS over HTTPS
We hebben onze uitrol van DoH als standaard voor alle gebruikers van Firefox Desktop in de Verenigde Staten in 2019 en voor alle Canadese gebruikers van Firefox Desktop in 2021 voltooid. In maart 2022 zijn we de uitrol als standaard begonnen voor gebruikers van Firefox Desktop in Rusland en Oekraïne. Momenteel werken we aan uitrol in meer landen. Tijdens deze uitrol is DoH voor gebruikers in ‘fallback’-modus ingeschakeld. Als bijvoorbeeld de domeinnaamzoekopdrachten die DoH gebruiken om wat voor reden dan ook falen, dan valt Firefox terug op gebruik van de standaard DNS zoals ingesteld in het besturingssysteem (OS) in plaats van een fout te melden.
Opt-out
Als u een bestaande Firefox-gebruiker bent in een regio waar we DoH als standaard hebben uitgerold, ontvangt u een notificatie wanneer DoH voor het eerst wordt ingeschakeld, waardoor u ervoor kan kiezen geen DoH te gebruiken en in plaats daarvan de standaard DNS-instellingen van uw OS te blijven gebruiken.
Daarnaast controleert Firefox op bepaalde functies die kunnen worden beïnvloed als DoH is ingeschakeld, waaronder:
- Is ouderlijk toezicht ingeschakeld?
- Filtert de standaard DNS-server potentieel kwaadwillende inhoud?
- Wordt het apparaat beheerd door een organisatie die mogelijk een speciale DNS-configuratie heeft?
Als een van deze tests vaststelt dat DoH mogelijk invloed heeft op de functie, dan wordt DoH niet ingeschakeld. Deze tests worden telkens als het apparaat met een ander netwerk verbindt uitgevoerd.
DNS-over-HTTPS inschakelen, uitschakelen en instellen
Zie het artikel DNS over HTTPS-beschermingsniveau’s configureren in Firefox.
DNS-over-HTTPS handmatig in- en uitschakelen
U kunt DoH in- of uitschakelen in uw Firefox-verbindingsinstellingen:
- Klik in de menubalk bovenaan het scherm op en selecteer daarna of , afhankelijk van uw macOS-versie.Klik op de menuknop en selecteer .
- Ga in het paneel naar Netwerkinstellingen en klik op de knop .
- Scroll in het dialoogvenster dat wordt geopend naar DNS over HTTPS inschakelen.
- Aan: plaats een vinkje bij DNS over HTTPS inschakelen.
- Selecteer een provider of stel een aangepaste provider in (zie hieronder).
- Uit: haal het vinkje bij DNS over HTTPS inschakelen weg.
- Aan: plaats een vinkje bij DNS over HTTPS inschakelen.
- Klik op om uw wijzigingen op te slaan en het venster te sluiten.
Van provider wisselen
- Klik in de menubalk bovenaan het scherm op en selecteer daarna of , afhankelijk van uw macOS-versie.Klik op de menuknop en selecteer .
- Ga in het paneel naar Netwerkinstellingen en klik op de knop .
- Klik op het vervolgkeuzemenu Provider gebruiken naast DNS over HTTPS inschakelen om een provider in de lijst te selecteren.
- U kunt ook Aangepast selecteren om een aangepaste provider in te stellen.
- Klik op om uw wijzigingen op te slaan en het venster te sluiten.
Specifieke domeinen uitsluiten
U kunt uitzonderingen instellen, zodat Firefox uw OS-resolver gebruikt in plaats van DoH:
- Typ about:config in de adresbalk en druk op EnterReturn.
Er kan een waarschuwingspagina verschijnen. Klik op om naar de pagina about:config te gaan. - Zoek naar de voorkeur network.trr.excluded-domains.
- Klik op de knop Bewerken naast de voorkeursinstelling.
- Voeg, gescheiden door komma’s, domeinen toe aan de lijst en klik op het vinkje om de wijziging op te slaan.
Over subdomeinen: Firefox controleert alle domeinen die zijn opgesomd in network.trr.excluded-domains en hun subdomeinen. Als u bijvoorbeeld example.com invult, dan sluit Firefox ook www.example.com uit.
Netwerken configureren om DoH uit te schakelen
Encrypted Client Hello (ECH)
Met Firefox versie 118 rollen we een belangrijke beveiligingsfunctie uit: de Encrypted Client Hello (ECH). De primaire rol hiervan is de beveiliging van de initiële verbindingshanddruk (ook wel handshake genoemd), die tijdens online interacties wordt verricht, te versterken. ECH brengt, samen met DNS-over-HTTPS (DoH), navigatiebeveiliging naar een hogere trede:
- DoH als voorwaarde: in de implementatie van Firefox vertrouwt ECH op DoH om de benodigde encryptiesleutels op te halen voor de handdruk. Als DoH niet is geactiveerd, kan ECH niet functioneren.
- Synergistische bescherming: DoH werkt door DNS-zoekopdrachten te versleutelen, waardoor effectief de conversie van websitenamen naar IP-adressen wordt beveiligd. Aan de andere kant focust ECH op het versleutelen van de initiële gegevensuitwisseling tussen de gebruiker en de website. Samen bieden ze een complete verdediging tegen vele online bedreigingen.
- Verbeterde bescherming: als zowel ECH als DoH zijn ingeschakeld, beschikken gebruikers over een verbeterde dubbele privacylaag, waardoor potentiële kwetsbaarheden worden geminimaliseerd en online discretie wordt vergroot.
Zorg ervoor dat DoH in Firefox is ingeschakeld om volledig te profiteren van de beveiligingsverbeteringen die ECH biedt. Lees voor een gedetailleerde beschrijving Encrypted Client Hello (ECH) begrijpen en Encrypted Client Hello (ECH) – veelgestelde vragen.