In 2018 kondigde Microsoft al aan dat toekomstige versies ondersteuning voor DNS over HTTPS zouden krijgen. En dat DNS over TLS (DoT) mogelijk in een later stadium beschikbaar zal zijn. Zoals het er nu naar uitziet zal Windows 10 21H1 over DoH gaan beschikken. Met de instructies in dit artikel kunt u DNS via HTTPS inschakelen.
DNS via HTTPS staat DNS-omzetting toe via gecodeerde HTTPS-verbindingen toe. DNS over TLS werkt net iets anders, en zet DNS-query’s om via het Transport Layer Security (TLS) -protocol, in plaats van DNS-lookups in platte tekst te gebruiken. Dit maakt DoT meteen veiliger dan DoH.
DNS via HTTPS inschakelen (alleen versleuteld)
Om DNS over HTTPS te kunnen gebruiken bent u vaak aangewezen op een alternatieve DNS-provider. De meeste internetproviders bieden namelijk geen ondersteuning voor DoH via hun DNS-servers. OpenDNS, Google Public DNS en CloudFlare DNS zijn gratis openbare DNS-providers. In dit artikel leest u meer over het gebruik van DNS-servers van derden en de gegevens voor IPv4 en IPv6.
- Open het startmenu en klik op Instellingen (tandwielje) en klik op Netwerken en Internet.
- Klik bij status op de knop eigenschappen en bij IP-instellingen op Bewerken.
- Selecteer de optie Handmatig en schakel IPv4 en/of IPv6 in.
- Geef nu bijvoorbeeld de gegevens op van CloudFlare DNS.
CloudFlare DNS IPv4: 1.1.1.1 en 1.0.0.1
CloudFlare DNS IPv6: 2606:4700:4700::1111 en 2606:4700:4700::1001
Voor IPv4 geeft u 1.1.1.1 bij voorkeurs-DNS op, en 1.0.0.1 bij alternatieve DNS-versleuteling. Klik hierna op opslaan om deze wijziging te bevestigen.
Opties voor versleuteling
Windows biedt twee opties voor versleuteling, alleen versleuteld en bij voorkeur versleuteld, maar niet versleuteld ook toestaan. Het is natuurlijk aanbevolen om de eerste optie te gebruiken. De andere optie kunt u gebruiken als bepaalde website niet goed laden of niet meer bereikbaar zijn.
DoH inschakelen in het register
Open het startmenu en typ hier het commando regedit gevolgd door enter. Navigeer nu naar de register-sleutel die hieronder in de codebox staat.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
Maak hier een nieuwe DWORD-waarde aan met de naam “EnableAutoDoh” en geef deze de waarde 2.
DNS-versleuteling testen
Om te controleren of de DNS-query’s inderdaad gecodeerd zijn, kunt u het PacketMon-programma gebruiken via de opdrachtprompt. Microsoft geeft daarvoor de volgende instructies.
Begin met het openen van een nieuwe opdrachtprompt of PowerShell-venster. Voer de volgende opdracht uit om eventuele netwerkverkeersfilters die PacketMon mogelijk al heeft, opnieuw in te stellen.
pktmon filter remove
Voer de volgende opdracht uit om een verkeersfilter toe te voegen voor poort 53, de poort die klassieke DNS gebruikt (en die nu stil zou moeten zijn omdat we alleen DoH gebruiken).
pktmon filter add -p 53
Voer de volgende opdracht uit om een realtime logboekregistratie van verkeer te starten. Alle poort 53-pakketten worden naar de opdrachtregel afgedrukt. Als uw apparaat alleen is geconfigureerd met DoH-servers, zou dit weinig tot geen verkeer moeten laten zien.
pktmon start –etw -m real-time
Als u een DoH-server probeert te testen die nog niet op onze autopromotielijst staat, zoals de DoH-servers van uw ISP, kunt u deze handmatig aan onze lijst toevoegen via de opdrachtregel. Identificeer eerst het IP-adres en de DoH URI-sjabloon voor de server die u wilt toevoegen. Voer vervolgens de volgende opdracht uit als beheerder:
netsh dns add encryption server= dohtemplate=
U kunt controleren of de sjabloon is toegepast op de bekende DoH-serverlijst door deze opdracht uit te voeren, die u de sjabloon zou moeten tonen die voor een bepaald IP-adres wordt gebruikt:
netsh dns show encryption server=
Wanneer Windows nu is geconfigureerd om dat IP-adres als DNS-server te gebruiken, gebruikt het DoH in plaats van klassieke DNS.