Versleutelt DoH al mijn internetverkeer?

Nee. DoH versleutelt alleen je DNS-query's — de verzoeken die domeinnamen omzetten naar IP-adressen. Je overige internetverkeer wordt niet versleuteld door DoH. Voor volledige versleuteling van je internetverbinding heb je een VPN nodig.

Kan mijn internetprovider nog steeds zien wat ik doe als ik DoH gebruik?

Gedeeltelijk. Met DoH kan je internetprovider niet langer zien welke domeinnamen je opzoekt. Ze kunnen echter nog steeds zien met welke IP-adressen je apparaat verbinding maakt. Een VPN is nodig om ook die informatie te verbergen.

Werkt DoH samen met een VPN?

Ja, en in veel gevallen is die combinatie nuttig. Een VPN versleutelt al je verkeer en routeert DNS-query's via zijn eigen servers. DoH voegt een extra beschermingslaag toe, met name als bescherming tegen DNS-lekken wanneer de VPN-verbinding wegvalt of onjuist is geconfigureerd.

Wat is het verschil tussen DoH en DoT?

Beide protocollen versleutelen DNS-verkeer, maar op verschillende manieren. DNS over TLS (DoT) gebruikt een aparte, herkenbare poort (853), waardoor het makkelijker te identificeren en te blokkeren is door netwerkbeheerders. DoH gebruikt poort 443 — dezelfde poort als gewoon HTTPS-verkeer — waardoor het veel moeilijker te onderscheiden en te blokkeren is.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): Wat het is en waarom het belangrijk is

Elke keer dat je een websiteadres in je browser typt, stuurt je apparaat een vraag: "Wat is het IP-adres van dit domein?" Die vraag heet een DNS-query, en decennialang reisde die onversleuteld over het internet — volledig zichtbaar voor iedereen die het netwerk in de gaten hield. DNS over HTTPS (DoH) is ontwikkeld om dat te verhelpen.

Wat het is

DNS over HTTPS is een protocol dat je DNS-query's verpakt in versleuteld HTTPS-verkeer — hetzelfde type versleuteling dat wordt gebruikt wanneer je inlogt bij je bank of online winkelt. In plaats van dat je DNS-verzoeken openlijk worden verzonden, worden ze gebundeld in beveiligde HTTPS-verbindingen en naar een DoH-compatibele DNS-resolver gestuurd. Voor buitenstaanders ziet het verkeer eruit als gewoon surfen op het web.

DoH werd in 2018 gestandaardiseerd door de Internet Engineering Task Force (IETF) in RFC 8484 en is sindsdien ingebouwd in grote browsers zoals Firefox, Chrome en Edge, en in besturingssystemen zoals Windows 11 en Android.

Hoe het werkt

Dit is de basiswerking:

Je typt `example.com` in je browser.
In plaats van een onversleuteld UDP-verzoek te sturen naar de DNS-server van je internetprovider op poort 53, stuurt je apparaat een versleuteld HTTPS-verzoek naar een DoH-resolver (zoals Cloudflare's `1.1.1.1` of Google's `8.8.8.8`) op poort 443.
De resolver zoekt het IP-adres op en stuurt het antwoord terug — nog steeds versleuteld via HTTPS.
Je browser maakt verbinding met de website.

Omdat de query gebruikmaakt van poort 443 (de standaard HTTPS-poort), gaat het op in normaal webverkeer. Een passieve waarnemer op je netwerk — of dat nu je internetprovider is, een netwerkbeheerder, of iemand die een nep-wifi-hotspot beheert — kan je DNS-zoekopdrachten niet gemakkelijk onderscheiden van ander HTTPS-verkeer.

Waarom het belangrijk is voor VPN-gebruikers

Je vraagt je misschien af: als ik al een VPN gebruik, heb ik DoH dan ook nodig? Dat is een terechte vraag, en het antwoord hangt af van je configuratie.

Zonder een VPN is DoH een aanzienlijke verbetering voor je privacy. Je internetprovider kan niet langer eenvoudig elk domein bijhouden dat je bezoekt. Dit is met name relevant omdat internetproviders in veel landen zijn toegestaan — of zelfs verplicht — om surfgegevens te verzamelen en te verkopen.

Met een VPN zouden je DNS-query's al via de VPN-tunnel moeten worden gerouteerd en worden verwerkt door de eigen DNS-servers van de VPN-aanbieder. Als je VPN-verbinding echter wegvalt of onjuist is geconfigureerd, kan er een DNS-lek optreden — je apparaat stuurt DNS-query's dan buiten de tunnel om, waardoor je activiteit zichtbaar wordt. DoH gebruiken naast een VPN (of kiezen voor een VPN die DoH intern implementeert) voegt een extra beschermingslaag toe tegen dergelijke lekken.

Het is ook goed om te weten dat DoH alleen geen vervanging is voor een VPN. DoH versleutelt alleen de domeinnaam-opzoekfase. Je werkelijke IP-adres blijft zichtbaar voor de websites die je bezoekt, en je internetprovider kan nog steeds zien met welke IP-adressen je verbinding maakt — alleen niet noodzakelijk welke domeinnamen die verbindingen hebben veroorzaakt.

Praktische voorbeelden en gebruikssituaties

Openbare wifi: Wanneer je verbonden bent met een netwerk in een café of op een luchthaven, voorkomt DoH dat de netwerkbeheerder je DNS-query's registreert of omleidt naar een gemanipuleerde server.
Eenvoudige censuur omzeilen: Sommige internetproviders blokkeren websites door DNS-query's te onderscheppen. DoH kan blokkeringen op DNS-niveau omzeilen omdat de query's versleuteld zijn en naar een externe resolver worden gestuurd. (Let op: vastberaden censors kunnen DoH-resolvers nog steeds blokkeren op basis van IP-adres.)
Bescherming op browserniveau: Firefox en Chrome laten je DoH rechtstreeks inschakelen via de instellingen, zodat je versleutelde DNS hebt, ook wanneer je geen VPN gebruikt.
Bedrijfsomgevingen: Netwerkbeheerders discussiëren vaak over DoH, omdat het interne DNS-controles kan omzeilen. Veel organisaties configureren DoH zodat het via goedgekeurde interne resolvers loopt in plaats van openbare.

DoH vs. DoT

DoH wordt vaak vergeleken met DNS over TLS (DoT), een ander DNS-versleutelingsprotocol. Beide versleutelen DNS-verkeer, maar DoT gebruikt een specifieke poort (853) die netwerkbeheerders eenvoudig kunnen herkennen en filteren. DoH gaat op in regulier HTTPS-verkeer, waardoor het moeilijker te blokkeren is — wat zowel zijn kracht is voor privacy als een punt van zorg voor netwerkbeheer.

DNS over HTTPS (DoH)Gemiddeld