Mozilla kondigde eind vorige week aan DNS over HTTPS (DoH) standaard in te schakelen en Chrome volgt nu ook met experimenten. DoH zorgt ervoor dat ook DNS-verkeer wordt versleuteld, zodat adresverkeer ook niet meer kan worden gevolgd. Dat voorkomt dat partijen mee kunnen gluren met internetgebruikers om te zien met welke IP-adressen ze contact leggen.

Britse ISP's riepen Mozilla eerder dit jaar uit tot superschurk wegens het op deze manier omzeilen van contentblokkades die ervoor moeten zorgen dat tere kinderzieltjes worden beschermd tegen aanstootgevende content. Providers en contentblokkerende partijen zijn dan ook niet onverdeeld gelukkig met deze trend.

Centralisatie DoH-providers

DoH ligt gevoelig bij IT'ers vanwege de voor- en nadelen. DNS-verkeer wordt door dezelfde poort geduwd als HTTPS-verkeer, waardoor beheerders niet meer zo goed kunnen monitoren op malafide activiteit. Bovendien zorgt DoH voor meer centralisatie en afhankelijkheid van specifieke giganten (Mozilla gebruikt bijvoorbeeld CloudFlare als DoH-provider, maar zegt andere oplossingen te overwegen).

Ook informatiebeveiligers zien vaak liever een alternatieve methode, waarbij DNS-verkeer via TLS wordt behandeld. Dat moet het beste van beide werelden opleveren: DNS-verkeer privé, maar wel zodanig dat het geblokkeerd kan worden én decentraal opgezet. Malwaremakers stappen bijvoorbeeld al een tijdje over op DoH, zodat communicatie met hun servers kan worden verstopt in HTTPS-verkeer.

Ruzie DoH vs DoT

Weer andere netwerkspecialisten vinden het geruzie over DoH overdreven, maar begrijpen wel waar de pijn vandaan komt: het centraliseren van DNS druist in tegen de filosofie van een toegankelijk internet waar iedereen vrij de infrastructuur kan leveren. Bovendien zorgt de implementatie op de applicatielaag ervoor dat de grens tussen web en internet vervaagt.

Verder heeft ook DNS over TLS (DoT) een nadeel, want contentblokkerende partijen zouden met DoH blokkades niet kunnen handhaven, maar met DoT wel. Het is dan ook niet zo verwonderlijk dat in de IT-wereld de discussie DoH vs DoT al meer dan een jaar luid gevoerd word. Met de adoptie van DoH door Mozilla en Google, lijkt de uitkomst van die strijd nu een voldongen feit.