DNS over TLS DoT bij XS4ALL ook bij KPN?

komt hier nog antwoord op .....

Tja… lijkt nergens op…

Kom Op Nou!
 

@Jeroen van KPN komt hier nog een update op?

Excuses, ik had de mention hier afgelopen maart gemist. Ik heb zojuist gemaild met een verzoek om een update. 

Ik heb een update!

Het heeft, door omstandigheden, een poosje stilgelegen. Het programma staat inmiddels weer op de rails, maar data kan ik op dit moment nog niet geven. Zodra daar meer duidelijkheid over is, kom ik dat delen.

Ik marker dit, voor nu, even als antwoord. Dat kan weer aangepast worden als er meer nieuws is. 

bedankt voor de update 

Wow! Goed nieuws …

..

Wat is het voordeel van DNS over TLS als er gebruik gemaakt wordt van de DNS servers van KPN?

Ik zie het enig voordeel dat KPN niet kan zien welke sites je bezoek, oftewel de versleuteling is te kraken met nodige rekenkracht.

Natuurlijk kan KPN dat wel zien want het zijn hun DNS servers die die DNS requests afwikkelen en dan is die versleuteling er dus al vanaf. Als je een algemene DNS server gebruikt zoals bijvoorbeeld die van Cloudflare dan snap ik dat de DNS over TLS zou willen maar als je de DNS servers van KPN gebruikt dan zie ik echt de meerwaarde niet. Het hele netwerk tussen jouw router en die DNS server wordt beheerd door KPN en op de DNS server zelf zijn die gegevens weer onversleuteld in te zien door KPN.

Ik vraag me ook af: hoe moeten mensen dit überhaupt in gaan zetten? De firmware van de Experiaboxen/KPN Boxen ondersteund het(nog) niet denk ik. Dus daar kan je geen DNS over TLS instellen denk ik. Heb ik daar gelijk in?

Dan moet je het op elk apparaat apart in gaan stellen? Hoeveel klanten zullen dit überhaupt snappen en gaan doen? 

Klopt die modems van KPN ondersteunen dat niet. Dus het wordt uiteindelijk alleen zoiets als KPN heeft dan ook encrypted DNS in de markt staan net als allerlei andere aanbieders in de markt en daarna gaan we weer over tot de orde van de dag.

DNS is een van de meest gevoelige onderdelen van het internet. De EU is bezig om een EU DNS server op te zetten zodat we het DNS verkeer niet meer over de oceaan transporteren. Door een analyse van de DNS request van de gebruikers is het relatief eenvoudig om een profiel over een gebruiker te bouwen (Cookies worden steeds moeilijker) Ik vertrouw KPN, dus wil ook graag mijn DNS weer daar laten lopen als het via DOT kan, zoals bij XS4ALL was en bij Freedom is. Ik gebruik voor Voice ook SIP TLS en SRTP. Ik doe niets geheims, maar versleutel wel alles wat ik kan. Er zijn verder op internet voldoende meningen te vinden waarom DoT zinvol is.

Eric van Den schreef:

DNS is een van de meest gevoelige onderdelen van het internet. De EU is bezig om een EU DNS server op te zetten zodat we het DNS verkeer niet meer over de oceaan transporteren.

Als jij gebruik maakt van de DNS servers van KPN dan wordt het DNS verkeer sowieso al niet over de oceaan getransporteerd.

Met alle respect maar ik zie absoluut geen voordelen voor DoT bij gebruik van de DNS server van KPN immers een man-in-the-middle attack is zo goed als onmogelijk omdat het verkeer het KPN netwerk niet eens verlaat. En de partij achter de DNS server heeft sowieso al geen last van die TLS encryptie want uiteraard gaat die er weer vanaf bij binnenkomst op de DNS server. Die kan dus nog steeds vrolijk dat DNS verkeer analyseren. Dat is ook waarom Google maar wat graag wil dat jij hun DNS servers gebruikt.

DoT beschermt je alleen tegen kwaadwillenden tussen jouw aansluiting en de DNS server en het is, bij gebruik van de DNS servers van KPN, zo goed als onmogelijk om dat verkeer te onderscheppen anders dan op het netwerk van de abonnee zelf.

Is er nog een update vanuit KPN na een half jaar met de DNS over TLS?

De xs4all-ers die aan KPN ontsnapt zijn, beter bekend als freedom.nl, hebben inmiddels wel DoT……

Kan je me vertellen wat het voordeel is van DoT als je gebruik maakt van de DNS servers van jouw eigen provider?

Van wat ik uit het document van de overheid moet begrijpen, is o.a. het onderstaande. Bron: Nationaal Cyber Security Centrum : DNS-versleuteling - De nieuwe standaard voor DNS-verkeer

Mozilla Firefox, Google Chrome en afgeleiden van Chromium, zoals Microsoft Edge, bieden allemaal vergelijkbare evaluaties van DNSversleuteling. Ze kunnen hun eigen externe versleutelde DNS-provider kiezen, meestal Cloudflare of Google, als het besturingssysteem is voorzien van nietversleutelde DNS-servers. Browsers kunnen proberen de lokaal verstrekte DNS-verbinding te upgraden naar een versleutelde variant. Als dat niet lukt, kunnen ze proberen verbinding te maken met een externe provider.  

Kortom voor mij redenen om DoT te gebruiken bij een kpn DNS, zodat de browsers geen eigen poging uitvoeren om de een DNS om te katten naar hun eigen voorkeur met DoT. 

Bij het gebruik van DNS is DoT gewenst of eigenlijk zelfs vereist, als je gebruik maakt van een publieke DNS servers zoals die van Cloudflare of (brrr) Google. Bij het gebruik van de DNS server van jouw eigen provider het het versleutelen van die berichten mijns inziens geen enkele toegevoegde waarde. Er is immers niemand die tussen de DNS servers van de provider (KPN) en jouw thuisnetwerk kan zitten die de berichten kan lezen en manipuleren (DNS spoofing).

​@wjb Ja dat snap ik, maar als nou geen gebruik wil maken van een openbare dns server die een browser zelf kan kiezen dankzij een upgrade naar dns DoT, omdat de provider een niet-versleutelde DNS heeft? Immers kunnen programma's toch gewoon buiten je keuze om een andere dns server gebruiken. Wanneer kpn een DoT aanbiedt, zal er geen automatische upgrade uitgevoerd worden. Althans van wat ik er over lees. 

Het gaat mij er niet om dat mijn onversleutelde dns verzoeken naar kpn beïnvloedbaar zouden kunnen zijn, ik vertrouw de verbinding wel. Maar het gaat om het gedrag van programma's en apps om een andere route te kiezen omdat deze geen onversleutelde DNS verzoeken meer gaan accepteren (in de toekomst).

Inmiddels 3 jaar verder en het werkt nog niet. 😴

Ah top, dankjewel. Totaal gemist dit bericht.