Eerste voordeel is de versleuteling, die bij Do53 (DNS-over-port-53) niet aanwezig is. DoT (DNS-over-TLS) heeft overigens ook versleuteling.

Tweede voordeel is dat applicaties die zelf het DNS-protocol niet snappen, zoals webbrowsers, ook zelf DNS-queries kunnen doen op basis van JSON. Dat is handig wanneer de webbrowser-OS koppeling geen ondersteuning biedt voor nieuwe query types, zoals het nieuwe 'HTTPS' type.

Het derde voordeel is dat alle verzoeken je eigen DNS-sever omzeilen. Door die te omzeilen voorkomt Google dat je hun domeinen kan blokkeren, bijvoorbeeld als je een PiHole gebruikt. (Je kan je afvragen voor die dat voordelig is...)

Dus is het een voordeel, maar in het geval van Google en Big IT weer een beetje een tweesnijdend zwaard. ;)
Wat is dan de veiligste en privacy-vriendelijkste oplossing?

luntrus

Dit klopt beperkt. Mozilla heeft een hele instructie op hun website staan hoe je er voor zorgt dat je eigen DNS server wel gebruikt wordt door een speciaal domein te publiceren. Onze DNS server is zo ingericht en Firefox respecteert die instelling en gebruikt dan geen DoH meer, ook al stel je dat in.

Chrome heeft volgens mij niet zo'n instelling. Ik heb b.v. het facebook domein in onze blocklist staan en als ik DoH aanzet, laat Chrome de webpagina zien. Wat bij Chrome wel helpt is het blacklisten van de domeinnaam van de DoH servers. Als ik b.v. "doh.opendns.com" en "cloudflare-dns.com" in de blacklist van onze dns-server zet, werkt de hele DNS niet meer. Alleen moet je dan elke denkbare DoH server in de lijst zetten om dit verkeer te blokkeren.

Helaas is er niet een oplossing die het beste uit de bus komt. Zelf draai ik mijn eigen (recursive) DNS-server. Echter is er nog geen protocol om versleuteld DNS-verzoeken te doen naar de authoritative DNS-server. Mijn queries gaan dus gewoon leesbaar het internet over, maar komen daarmee niet terecht bij Cloudflare/Google of OpenDNS. Op het interne netwerk gebruik ik DoT.

Voor de meeste mensen raad ik toch aan gewoon de DNS servers van je ISP te gebruiken. En dus weg te blijven bij DoH, Google, Cloudflare of OpenDNS. Het zal iets langer duren, maar op termijn zullen de grote ISP's ook DoT en DoH gaan ondersteunen. Bovendien heb je daar contractueel meer aan dan aan een derde Amerikaanse partij waar de AVG niet op van toepassing is.

Nou inderdaad, dat is beter. Maar ja veel mensen denken "hee kijk encrypted DNS, dat is vast beter, daar moet ik
op overstappen". Beetje hetzelfde als gebruiken van een VPN provider. Ja je verkeer is encrypted, maar je geeft nu
ineens een partij inzage in je verkeer die dat eerst niet had, en die je eigenlijk niet kent.

Overigens biedt de provider Freedom wel DoH en DoT aan op de eigen resolvers. Heeft uiteraard totaal geen zin maar
er zijn vast mensen die dat leuk vinden en aanzetten.

En wat betreffende fdns - zie: https://firejaildns.wordpress.com/man-fdns/ Firejail DoH?

luntrus

Ik heb zelf ook mijn eigen Nginx DoH en DoT server opgezet met unbound alleen vroeg ik mij inderdaad ook af of de authoriative root servers niet TLS ondersteunen, dan is alles van mijn netwerk tot de root servers encrypted.
Dat is wat ik graag zou willen :) iets met zwakste schakel in de keten ;)

Fijn draadje ontwikkelt zich hier weer. Goede info. Dank aan allen die reageren met hun ervaringen.

De OP.

Voordeel van OpenDNS is natuurlijk bijvoorbeeld dat als je op vakantie bent je niet het netwerk zelf hoeft te vertrouwen, maar je slechts je eigen instellingen van OpenDNS hoeft te vertrouwen.

In bv. Polen ooit wel eens een netwerk tegengekomen die wat bijzondere dingen deed en waardoor je op bepaalde sites niet kwam. Ook in Engeland gebeurd dat blijkbaar bij Virgin: https://twitter.com/scott_helme/status/950472872304226304.

DOH voegt daaraan toe dat het DNS verkeer ook nog eens niet zichtbaar is voor het netwerk. Al zou je kunnen overwegen daar een VPN voor te pakken.

Misschien goed om ook eens te vragen: zijn er eigenlijk nadelen aan DOH? (waarom wisselen we het niet gewoon met z'n alle thuis ook meteen in?).

Geen enkele authoritieve DNS server doet DoH/DoT .
Dat is precies wat degene op wie je reageert al schreef .

Niet de roots, niet de TLD/ccTLDs (.com.net, .nl, .be servers) , noch de servers authoritief voor een domein .

DoH/DoT gebruik je om je eigen ISP buiten spel te zetten qua zicht op je DNS queries , en dat ruil je in door al je queries te laten zien aan het eindpunt van je DoH/DoT connectie .
In de VS kan dat al een goede ruil zijn, in NL of BE zie ik dat niet zo.

Afgezien van het leerzaamheidsaspecten - ik snap niet wat je bereikt door je eigen DoH/DoT in je thuis lan te draaien ?

Je maakt dan de queries van je thuisdevices onzichtbaar voor afluisteraars in je thuis lan ... OK.

Als je je DoT host op een VPS elders heb je dan wel bereikt dat je ISP er geen zicht meer op heeft - maar alleen de hoster. Goede ruil ? Misschien.

Daar wordt wel aan gewerkt, maar het blijkt lastig om de juiste manier te vinden waarop dit gedaan kan worden. Overigens is het onwaarschijnlijk dat de roots dit zullen ondersteunen. Het zalvoornamelijk gaan om TLD's als .nl en daaronder, bijvoorbeeld de nameservers van security.nl

Als je een eigen intranet hebt, via een eigen dns server, dan is dat onbereikbaar als er DoH gebruikt wordt. Als ik thuis "nas", "TV", "Printer" etc in de browser intik, weet de PC direct naar welk IP hij moet gaan omdat de interne DNS server dat vertelt.

Idem bij bedrijven met een groter intranet welke lokale adressen doorgeeft. Via DoH wordt de bedrijfs dns server buiten spel gezet en OpenDNS kan jou niet vertellen hoe je bij "administratie", "Koffietafel" etc moet komen.

Idem geldt b.v. bij beveiligingen op het netwerk. Ik heb een synology router die al het dns verkeer filtert op bepaalde sites. b.v. site die op een blacklist staan van malware verspreiders. Via DoH omzeil je deze beveiliging van je netwerk. Nu hebben OpenDNS en Quad9 ook de mogelijkheid om bepaalde sites te filteren, maar dat is niet in zijn algemeenheid zo bij een externe dns server.

@Briolet: helemaal eens. Daarbij komt dat er wel blindelings wordt vertrouwd op een 3e, niet Nederlandse en zelfs niet Europese partij waarbij niet bekend is wat er _echt_ met de data gebeurt, hetzelfde als bij de zucht naar VPN’s voor het ‘beveiligen’ tegen de Nederlandse providers, van wie je wel weet wat er met je data gebeurt, en die je op misbruik kunt aanspreken.

Ik vertrouw liever op filtering van xs4all (zo lang die nog bestaat) dan op filtering van een Amerikaanse of andere partij. Als je het echt niet vertrouwt kun je je eigen DNS infra (resolving en authoritative) opzetten, zo ingewikkeld is dat niet.

Baggertraag , ook - kijk gewoon eens mee met wireshark .

Bedenk dat als je naar een site gaat er helemaal niets gedaan wordt voordat de browser een IP adres terug heeft .
Een dns lookup is is heel veel sneller dan het opzetten en handshaken met TLS , wat gedaan moet worden voordat er ook maar een bit van de query gedaan kan worden.

Bij een 'vers' site bezoek, waarbij de dns lookup nodig is zal dat absoluut voelbaar zijn.

Ja maar een eigen netwerk (al dan niet intranet genoemd) dat wordt steeds minder populair.
Tegenwoordig hebben de mensen alles "in de cloud" en hebben ze op hun devices overal verbindingen met die cloud
servers, en als ze zelf al spullen hebben die ze lokaal moeten bedienen (weet ik veel een app die de tv bedient) dan
nog gaat dat niet meer direct maar via een hairpin in de cloud. Dus zowel de app als de tv hebben verbinding met
dezelfde cloud server die de commando's relayeert.
Daardoor is het toepassinggebied van dat scenario wat je daar beschrijft steeds verder afgenomen, en als dat gebeurt
ga je onvermijdelijk zien dat er ook geen rekening meer mee wordt gehouden en je als je het toch nog in werking hebt
staan steeds verder buitenspel komt te staan.

Net als wanneer je op je lokale netwerk nog devices hebt die met Java of Flash bediend/beheerd moeten worden,
die alleen TLS 1.0/1.1 ondersteunen, enz enz. Het werkte altijd prima en het is veilig zat op je lokale netwerk, maar
je wordt buitenspel gezet door de grote machten zoals Mozilla en Google die de support uit hun producten slopen
en zeggen "bekijk het maar".
Op diezelfde manier zal spul wat lokale DNS nodig heeft ook in de kou komen te staan. Of beveiligingen die denken
in te kunnen grijpen op DNS.
Want DoT kun je nog wel blokkeren (en een fallback naar DNS forceren, hoewel dat meestal ook weer een paar seconden
duurt), maar DoH blokkeren is in de praktijk (en op den duur) niet te doen. Dus je zult meer en meer geconfronteerd
worden met spullen die je DNS settings negeren en DoH gebruiken.

Iemand die DNS jumper gebruikt met Custom, Default, Backed-up DNS,
0f Google Public, Norton Connect Safe of Yandex Basis?

DNS dig met 8.8.8.8.

luntrus

Op zich doet Mozilla het nog jetjes. Die checkt of er een locale DNS server aanwezig is. (Je DNS server moet je wel eerst configureren naar instructies van Mozilla) Indien aanwezig, dan wordt geen DoH gebruikt, maar de locale DNS.

Ik vind het helemaal geen taak van een browser om zich met DNS te bemoeien. Dit behoort op systeemniveau te gebeuren. Synology heeft de DoH functionaliteit in hun router gestopt. Ook een mooie plek. De router onderschept al het gewone DNS verkeer en stuurt het vervolgens naar een DoH server. Dan heb je ook je encryptie, maar heeft de beveiliging van de router nog de mogelijkheid om zelf in te grijpen. DoH via een browser is gewoon de verkeerde plek.

Met de simpele DNS servertjes die in consumentenrouters zitten is het lang niet altijd mogelijk om deze zodanig te
configureren dat Firefox snapt dat hij deze moet gebruiken. Maar deze kunnen vaak wel (of doen automatisch al)
DNS namen voor locale hosts serven.