image

Google Chrome 96 laadt websites met https dns-record altijd via https

maandag 15 november 2021, 14:05 door Redactie, 14 reacties

Google heeft vandaag Chrome 96 gelanceerd die websites met een https dns-record altijd via https zal laden. De nieuwe feature moet de privacy van gebruikers beschermen. "Dns for https" records, ook aangeduid als dns type 65, is een bij de IETF in ontwikkeling zijnde specificatie.

De specificatie zorgt onder andere voor "https binding", zodat websites standaard via https worden geladen. Google heeft ondersteuning van dergelijke records nu aan Chrome 96 toegevoegd. Volgens de release notes zijn er met deze versie geen kwetsbaarheden verholpen. Updaten naar Chrome 96.0.4664.45 zal op de meeste systemen automatisch gebeuren.

Reacties (14)
15-11-2021, 14:18 door Anoniem
In Firefox is dit ook al experimenteel toegevoegd. Daarbij is het wel verplicht om DNS-over-HTTPS te gebruiken. Weet iemand of Chrome dezelfde (kunstmatige) beperking heeft?
15-11-2021, 14:47 door Anoniem
Omdat het opzoeken van een voorbeeld al snel weer op deze pagina uitkomt, hierbij een voorbeeld (corrigeer me als ik het niet goed beschrijf).

Moet zeggen: het wordt wel een beetje een rommeltje zo, omdat records naar elkaar gaan verwijzen.


www.<domein>. 300 IN A <IP> #ipv4 voor www
AAAA <IP>. #ipv6 voor www

www.<domein>. 300 IN HTTPS 1 . #https voor www die verwijst naar bovenstaande IP's
15-11-2021, 14:48 door Anoniem
Hoezo beschermt deze feature de privacy van gebruikers?
15-11-2021, 15:35 door Anoniem
Het wordt hoog tijd om http volledig te weren
15-11-2021, 15:42 door Anoniem
Door Anoniem: In Firefox is dit ook al experimenteel toegevoegd. Daarbij is het wel verplicht om DNS-over-HTTPS te gebruiken. Weet iemand of Chrome dezelfde (kunstmatige) beperking heeft?

Geen idee.

Heb je informatie over de reden die ze geven bij Firefox om dit te koppelen aan DoH/S ?

Met de natte vinger speculeer ik dat ze bezorgd zijn voor teveel erg beperkte resolvers die foute dingen doen met 'nieuwe' DNS resource records, anders dan de vijf/zes nu bekende. (A,AAAA,NS,MX, SOA,PTR , en dan wordt het al snel spannend) .

Misschien hebben ze geen ongelijk dat het veld van resolver software (in de thuis routers, en misschien ook systeem dns libraries), en misschien zelfs ISP resolvers er wel veel gefossiliseerd is op 'geen nieuwe DNS RRs'.

In de startup fase de ervaring "het werkt niet als dat aanstaat" is al snel killing voor z'n feature - IPv6 durfde men ook pas aan sinds de 'happy eyeballs' RFC/aanpak.

Maar goed - dat is mijn speculatie. Ik weet niet welke reden FF heeft.
15-11-2021, 17:37 door Anoniem
Door Anoniem: Het wordt hoog tijd om http volledig te weren
Waar zou je het mee willen vervangen?
15-11-2021, 18:39 door Anoniem
Door Anoniem: Heb je informatie over de reden die ze geven bij Firefox om dit te koppelen aan DoH/S ?
Zoals je vermoed is het deels ingegeven door de ondersteuning van middleboxes. Volgens mij komt de HTTP RR ook voort uit (o.a.) het eerdere Encrypted SNI (ESNI) voorstel. Dat was afhankelijk van DoH met als reden dat Do53 niet versleuteld is en je dus niks hebt aan ESNI. Dat sloeg natuurlijk nergens op, Firefox weet namelijk niet of het OS gebruik maakt van Do53 of van DoT (of zelfs van DoH op OS-laag). Het zou goed kunnen dat dit dus wel versleuteld is. Om nog maar niet te spreken van de verschillende paden die een DNS query en een HTTPS verbinding kunnen afleggen. Echter is er daarna nooit meer iemand geweest om de rest te implementeren, waardoor (naar mijn weten) alles nog steeds afhankelijk is van DoH.
15-11-2021, 18:44 door Anoniem
Door Anoniem: Hoezo beschermt deze feature de privacy van gebruikers?
Zie de gelinkte (draft) IETF specificatie, sectie '1.1 goals': "Provide an HSTS-like indication [HSTS] signaling that the "https" scheme should be used instead of "http" for this request (see Section 9.5)."
15-11-2021, 22:11 door Anoniem
Door Anoniem: Omdat het opzoeken van een voorbeeld al snel weer op deze pagina uitkomt, hierbij een voorbeeld (corrigeer me als ik het niet goed beschrijf).

Moet zeggen: het wordt wel een beetje een rommeltje zo, omdat records naar elkaar gaan verwijzen.


www.<domein>. 300 IN A <IP> #ipv4 voor www
AAAA <IP>. #ipv6 voor www

www.<domein>. 300 IN HTTPS 1 . #https voor www die verwijst naar bovenstaande IP's
Je zou hier nog aan toe kunnen voegen:
<domein>. 300 IN HTTPS 0 www.<domein>.
Die 0 staat voor AliasMode en is bruikbaar als je geen CNAME kunt/wilt/mag gebruiken.
Jouw input 1 staat voor ServiceMode en die punt '.' vertelt je browser dat www.<domein>. het doeldomein (effective TargetName) is en dat 'ie https moet gebruiken, ook al staat er http:// in de door jou gevolgde link. (Vergelijkbaar met STS http header)
Achter die punt kun je nog het een en ander kwijt, maar daar wordt de RFC nogal technisch en waarschijnlijk alleen relevant voor grote serverfarms om de boel een beetje te spreiden.
16-11-2021, 09:09 door Anoniem
Door Anoniem: Het wordt hoog tijd om http volledig te weren

Waarom? Geef eens een onderbouwd verhaal.
16-11-2021, 09:53 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Het wordt hoog tijd om http volledig te weren
Waar zou je het mee willen vervangen?

HTTP's (meerdere http'en zijn veiliger dan eentje)
16-11-2021, 20:24 door Anoniem
Ik weiger bijgevolg chrome te gebruiken. DNS over ssl geen probleem - DNS over https daarbij verlies je alle controle - net wat ik NIET wil!
17-11-2021, 06:20 door Anoniem
@ anoniem van 20:24,

Goed opgemerkt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.