DNS Over https artikel

Ergens op pagina 2 staat dat Cloudflare 8.8.8.8 heeft.

Mozilla koos voor de samenwerking met Cloudflare. De functie wordt opt-out. Het verkeer van een gebruiker die niets verandert, loopt daarmee voortaan standaard via de 8.8.8.8-DNS-resolver van het Amerikaanse bedrijf.

[ Voor 67% gewijzigd door CurtPoindexter op 14-10-2019 06:38 ]

Op de DNS over TSL pagina staat om een zin 'dubbel' (net anders geformuleerd):

Een bijkomend effect is dat eigenlijk alleen grote dns-providers met Google of Mozilla in zee kunnen gaan. Een bijkomend effect daarvan is dat eigenlijk alleen grote dns-providers met Google of Mozilla in zee kunnen gaan.

En zoals hierboven aangegeven is de 8.8.8.8 DNS server niet van Cloudflare maar van Google.

Het lijkt op het eerste gezicht een goed idee om dns-verzoeken te versleutelen. Inmiddels duikt echter ook de vraag op of https daarvoor wel de juiste methode is. Het heeft namelijk enkele nadelen, zoals centralisatie, waardoor een single point of failure ontstaat, maar ook belangrijk is dat dns wordt gebruikt voor bescherming en monitoring van netwerken. Dat soort functies verdwijnen als de queries over dns lopen.

Die laatste zin moet denk ik zijn:

Dat soort functies verdwijnen als de queries over https lopen.

(pagina 3 eind eerste paragraaf)

Helemaal in het begin staat ook dit:

Je zou het bijna vergeten, maar er was een tijd dat we al onze WhatsApp-berichtjes over een onversleutelde verbinding verstuurden, waarbij iedereen die tussen zender en ontvanger in zat, zomaar kon meelezen wat je schreef. Pas een half jaar ná de overname door Facebook voegde WhatsApp eind-tot-eindversleuteling toe aan de app. Daarvóór gingen al die miljoenen berichtjes over en weer gewoon in plain text door de ether, leesbaar voor iedereen.

Maar dit klopt volgens mij niet. WhatsApp zal zeker wel TLS hebben gebruikt om de verbinding tussen de client en de server te versleutelen (bv. over https, websockets, mqtt etc).
Dus, er zal niemand tussen de verbinding hebben kunnen meelezen.
De end-to-end encryptie zorgt ervoor dat het bedrijf whatsapp de berichten niet kan lezen, m.a.w. de berichten worden op de ene client versleuteld en op de andere client ge-decrypt.

EDIT: op de derde pagina:

Een bijkomend effect is dat eigenlijk alleen grote dns-providers met Google of Mozilla in zee kunnen gaan. Een bijkomend effect daarvan is dat eigenlijk alleen grote dns-providers met Google of Mozilla in zee kunnen gaan. Kleinere aanbieders, zoals het Nederlandse PowerDNS, kunnen niet aan de eisen voldoen die die bedrijven stellen. "Mozilla stelt bijvoorbeeld zware eisen", zegt PowerDNS-oprichter Bert Hubert tegen Tweakers. "We hebben het geprobeerd samen met partners, want zonder wereldwijd dekkend netwerk mag je niet meedoen. Ook moet je verslag moet doen aan Mozilla van ieder gerechtelijk verzoek dat binnenkomt, wat helemaal niet mag."

Eerste zin leest als dubbel en laatste komt twee keer moet in.

EDIT2:

Eerst even een korte hoe-zat-het-ook-alweer: dns, of domain name server, is het protocol dat de vertaalslag maakt van ip-adressen naar een concrete domeinnaam

Het is toch juist omgekeerd? Je geeft aan een DNS-resolver een domeinnaam en je krijgt een IP-adres terug. (het omgekeerde wordt ook gebruikt, maar niet in deze context).

Ook zijn er andere protocollen, zoals sni of ocsp waarmee isp's veel informatie over het oorspronkelijke verkeer kunnen achterhalen.

Daarom wordt er ook gewerkt aan encrypted nsi (https://blog.cloudflare.com/encrypted-sni/). OCSP is altijd een discussie punt geweest, of dit iets goeds of slechts is. Chrome gebruikt het bv niet, waar firefox het wel doet (Wikipedia: Online Certificate Status Protocol)

[ Voor 48% gewijzigd door LEDfan op 14-10-2019 08:13 ]

Pagina 2: "Eerst even een korte hoe-zat-het-ook-alweer: dns, of domain name server" moet dat niet Domain Name System zijn?

"Dit proces van het opzoeken van de domeinnaam die bij een ip-adres hoort, verloopt nu nog onversleuteld". Het is andersom: IP adres zoeken die bij een domeinnaam hoort.

Pas een half jaar ná de overname door Facebook voegde WhatsApp eind-tot-eindversleuteling toe aan de app. Daarvóór gingen al die miljoenen berichtjes over en weer gewoon in plain text door de ether, leesbaar voor iedereen.

Zou het?

End-to-end encryptie betekent dat er maar op 2 punten het bericht leesbaar is. Bij de verstuurder en de verzender.

Maar er is ook 'gewone' TLS-encryptie. Oftewel, de verbinding wordt encrypt, maar de payload niet.
Dat betekent dat op het punt waar de IP-terminatie plaatsvindt, het pakketje weer ontsleutelt wordt. Iedereen daar tussenin kan het berichtje *niet* lezen.

Om een analogie te trekken met ouderwetse post:
Een plain text bericht is een ansichtkaart. Iedereen die hem vasthoudt kan het lezen.

'gewone' tls-encryptie is als een brief in een envelop. Zolang hij in de envelop zit is hij niet te lezen. Maar als iemand hem uit de envelop haalt dan is hij gewoon te lezen. Op het internet is het echter heel gebruikelijk dat dienst-providers, zoals Whatsapp hem uit de envelop halen, om hem in een nieuwe envelop te stoppen en weer door te sturen.

end-to-end-encryptie is een brief in geheimschrift in een envelop. Zelfs de tussenpersoon die de brieven uit de envelop haalt snapt niet wat er staat geschreven. Alleen de ontvanger kan hem ontsleutelen.

"gewone" TLS-encryptie is vrij simpel opgezet. End-to-end-encryptie is heel ingewikkeld en kent veel haken en ogen. Ik kan mij slecht voorstellen dat Whatsapp berichtjes *unencrypted* het net op slingerde. Dan had ik ook wel meer ophef verwacht, omdat sinds 2010 ofzo het toch echt wel al standaard was voor verkeer om versleuteld te worden.

Dan kan niet *iedereen* het verkeer lezen, zoals in het artikel beweerd wordt, maar (naast de verzender/ontvanger) ook de dienstverlener. Maar dus *niet* je provider, *niet* de beheerder van het wifipunt, *niet* een willekeurige pakketsniffer op een router op de weg naar Whatsapp en daarmee dus ook *niet* de gemiddelde oom agent.

Kortom, @TijsZonderH deze bewering verdiend wel iets van onderbouwing, omdat het (vanuit security en consumentenperspectief) een best heftige bewering is.

[ Voor 15% gewijzigd door Keypunchie op 14-10-2019 10:27 ]

Zoals het gewoon op wikipedia staat:

WhatsApp was initially criticized for its lack of encryption, sending information as plaintext.[155] Encryption was first added in May 2012.

bron

Die eerste implementatie was overigens ook niet bijzonder goed, zo was er geen certificate pinning of downgrade protectie aanwezig waardoor null ciphers mogelijk waren.

Alles aangepast, dank allen! Wat betreft plaintext: ik ga even kijken hoe ik dat wat anders kan verwoorden.

@TijsZonderH Er staat nog altijd "Dit proces van het opzoeken van de domeinnaam die bij een ip-adres hoort"...

@TijsZonderH Op welke grond is de volgende tekst geschreven in het artikel?

In Nederland moeten providers bijvoorbeeld websites scannen op onwenselijke inhoud: denk aan terrorisme of kinderporno

Het als provider faciliteren van verboden content kan bestuursrechtelijk worden aangepakt, maar dat is niet hetzelfde als een verplichting tot scannen op inhoud.

Providers hebben verder een plicht om mee communicatie aan opsporingonderzoek te leveren, wat ook niet het zelfde is als scannen van content door de providers zelf.

[ Voor 46% gewijzigd door kodak op 15-10-2019 10:31 ]

@Kees
Ik heb daar overheen gelezen bij Wikipedia :-) Thx.

Overigens blijft daarmee mijn kritiek staan. Van 2012 tot 2014 (het moment van overname) was er dus wel degelijk encryptie (simpelweg tls-gebaseerd). De tekst zoals hij er nu staat suggereert dat er pas na de overname enige vorm van encryptie kwam en dat ook in de 2012 tot 2014 periode WhatsApp niks versleutelde.

Voor de volledigheid, dit is de huidige tekst.

Je zou het bijna vergeten, maar er was een tijd dat we al onze WhatsApp-berichtjes over een onversleutelde verbinding verstuurden, waarbij iedereen die tussen zender en ontvanger in zat, zomaar kon meelezen wat je schreef. Pas een half jaar ná de overname door Facebook voegde WhatsApp eind-tot-eindversleuteling toe aan de app. Daarvóór gingen al die miljoenen berichtjes over en weer gewoon in plain text door de ether, leesbaar voor iedereen.

Iedere lezing zonder voorkennis is: "tot een half jaar na de overname was WhatsApp plaintext". En dat is domweg onjuist.

Overigens heeft dit ook gevolgen voor de zin daarna.
Ook in 2014, en in 2012, en zelfs daarvoor was het namelijk *niet* normaal om onversleuteld te chatten.

Er is veel veranderd sinds 2014. Waar het eerst nog doodnormaal was om onversleuteld te chatten

Maar goed, die overdrijving is de vrijheid van een redacteur, de factuele onjuistheid in de alinea daarboven vind ik domweg niet des Tweakers.

[ Voor 19% gewijzigd door Keypunchie op 15-10-2019 09:31 ]

Ik hoop dat @TijsZonderH of de redactie mijn vraag hier van 14 oktober 2019 22:20 nog kan beantwoorden waar de bewering van tijs / tweakers dat providers websites moeten scannen op gebaseerd is.

poging 3: Ik hoop dat @TijsZonderH of de redactie mijn vraag hier van 14 oktober 2019 22:20 nog kan beantwoorden waar de bewering van tijs / tweakers dat providers websites moeten scannen op gebaseerd is.

[ Voor 1% gewijzigd door kodak op 19-10-2019 00:04 . Reden: @Thijs Hofmans zodat hij dit hopelijk een keer leest ]

Dns nog onversleuteld
Een zo'n eindje is de verbinding met een dns-server. Dit proces van het opzoeken van de domeinnaam die bij een ip-adres hoort,

Volgens mij klopt dit stukje ook niet. Het moet zijn: Dit proces van het opzoeken van het ip-adres die bij de domeinnaam hoort.

@TijsZonderH werkt niet meer bij Tweakers.net? Bijna een week geleden sinds de TS en nog geen enkele reactie.

CyberMania schreef op zondag 20 oktober 2019 @ 16:54:
@TijsZonderH werkt niet meer bij Tweakers.net? Bijna een week geleden sinds de TS en nog geen enkele reactie.

Op mijn report van afgelopen vrijdag heeft hij ook nog niet gereageerd.

Ik wijt het aan het bekende, maar niet officiële adagium dat het in de weekenden altijd een stuk rustiger is op Tweakers (Dat zie je ook in het aantal nieuwspostings.)
Wel is het vreemd dat de auteur sinds zijn reactie afgelopen maandag de opmerking van @Kobboi nog niet tekstueel heeft becommentarieerd alsook jouw reacties nog niet heeft beantwoord. Wellicht dat er iets anders aan de hand is, maar vooralsnog is het qua timing (twee artikelen die nogal wat fouten bevatten) nogal ongelukkig te noemen.

Excuses! Doorgaans reageer ik wel wat sneller maar ik zag wat berichten over het hoofd en had het druk in de afgelopen dagen.

Ik heb het inderdaad niet helemaal goed opgeschreven. Ik begreep het verkeerd van iemand die me hier meer over uitlegde en was in de war met toekomstige Europese plannen om vooraf op zulke content te scannen. Dat is inmiddels aangepast!

@TijsZonderH Na zelf twee keer de fout aan te geven en ook steun te krijgen van @Redneckerz geef ik het gewoon op. De fout blijft er maar gewoon instaan dan.

Kobboi schreef op zondag 27 oktober 2019 @ 00:18:
@TijsZonderH Na zelf twee keer de fout aan te geven en ook steun te krijgen van @Redneckerz geef ik het gewoon op. De fout blijft er maar gewoon instaan dan.

De tekst is nog niet aangepast?

Ik ben hier niet degene die de fout had opgemerkt, maar gezien mijn eigen topic hierover lijkt dit nogal consistent te zijn. Je kan in ieder geval niet meer spreken van een ongelukkig incident, maar de afhandeling hiervan bij beide topic's is niet Tweakers-waardig.

De tekst was zo te zien al aangepast en Tijs heeft zijn excuses gegeven voor het late antwoorden.

Olaf schreef op maandag 28 oktober 2019 @ 14:49:
De tekst was zo te zien al aangepast en Tijs heeft zijn excuses gegeven voor het late antwoorden.

Dat is dan net als bij het Nintendo topic door een anoniem lid gedaan. Tevens is het excuus van Tijs op een vorige fix gebaseerd en niet voor het daaropvolgende incident.

Tevens is er helaas nog geen antwoord op de vraag van @kodak?

Een slechte beurt mensen.

@Kobboi maar even taggen dat het is opgelost, in ieder geval zijn tekst opmerking.