Dit bericht verscheen eerder bij Tuxis
Het omzetten van de domeinnaam www.tuxis.nl naar een ip-adres moet zo snel mogelijk én veilig gebeuren. Misschien hebt u er in de afgelopen maanden wel over gehoord, DoH, oftewel, DNS over HTTP. DNS heeft historisch nogal wat uitdagingen qua beveiliging. Het is niet encrypted en bleek ook nog wel eens wat makkelijk te spoofen/vervalsen.
DNS heeft twee typen servers, de authoritative en de resolving servers. De authoritative servers geven alleen antwoord op de domeinnamen die ze kennen. Zij zijn de enige die het antwoord weten op de vraag ‘waar woont tuxis.nl’. In ons geval zijn dat nssecauth1.tuxis.nl en nssecauth2.tuxis.nl.
Het andere type is resolving nameservers. Dat zijn de servers waaraan u kunt vragen, ‘waar woont duckduckgo.com?’. Zij beginnen dan bovenin de boom te zoeken (.) naar het antwoord, controleren of DNSSEC in orde is en geven het antwoord. En daarna onthouden ze het voor zolang als de authoritative server heeft gezegd dat dat mag, de TTL (Time To Live).
Hoewel DNSSEC iets zegt over de kwaliteit van het antwoord, wat u vraagt en het antwoord op die vraag gaat onversleuteld over het internet. Daarom is DoH bedacht. HTTPS-is immers altijd versleuteld en dus veilig! Of toch niet?
Firefox heeft besloten om DoH te gaan ondersteunen, en om daarbij ook nog te kiezen voor een enkele partij die de resolving voor ze gaat doen, CloudFlare.
CloudFlare (een commercieel bedrijf) gaat dus “gratis” al uw vragen beantwoorden. Dat roept bij mij weer andere vragen op. Als u wilt weten hoe uw Firefox is geconfigureerd is de DoH FAQ van Firefox misschien wel handig om te bekijken.
Er zijn ook veel mensen die gebruik maken van de “gratis” nameservers van Google, 8.8.8.8. Naast dat Google er wat ons betreft nogal dubieuze motieven op na houdt, wordt uw resolving ook nogal wat trager! Metingen (100 keer ‘waar woont google.com’) geven de volgende waarde in milliseconde:
Tuxis | ||
Gemiddelde reactietijd | 1,32 | 5,26 |
Aangezien er veel vragen gesteld worden aan nameservers, kunnen al die miliseconden nogal wat invloed hebben op de snelheid die uw gebruikers ervaren. Daar komt bij, hoe meer mensen de Tuxis resolvers gebruiken, hoe beter de reactietijden van onze resolvers worden.
En qua privacy heeft Tuxis het toch wel wat beter voor elkaar dan Google. U vind de adressen van onze resolvers op onze support-pagina’s! In de nabije toekomst zullen wij ook TLS en DoH op onze resolvers gaan ondersteunen!
Dit bericht verscheen eerder bij Tuxis