Het maakt niet uit waar je op internet allemaal op bezoek gaat: bijna altijd verstuurt je systeem daarbij metadata in de vorm van DNS-informatie. Daarmee kunnen ook anderen achterhalen welke websites je op internet allemaal bekijkt. De Internet Engineering Task Force heeft manieren gespecificeerd die dat kunnen voorkomen zodat anoniem surfen mogelijk is. We laten zien hoe je daar lekkages bij Linux, macOS en Windows mee kunt dichten.
Zonder contacten met een Domain Name Server (DNS) is een internetdienst amper nog te gebruiken. De meeste DNS-requests verlopen echter in leesbare tekst. Dat was lange tijd geen probleem. Nadat berichtendiensten en reclamebureaus DNS-requests echter gingen gebruiken als makkelijk toegankelijke databronnen voor het maken van gebruikersprofielen, ontwikkelden wereldwijd meerdere werkgroepen protocollen die dat moet tegengaan door het DNS-verkeer te versleutelen. De bekendste daarvan van zijn DNS-over-TLS en DNS-over-HTTPS, oftewel DoT en DoH.
Inmiddels zijn de eerste implementaties beschikbaar. Maar daarmee wordt dan alleen het browserverkeer gedicht. Je wilt echter de complete DNS-communicatie van een pc versleutelen. En om de DNS-requests zo veel mogelijk te spreiden om het maken van profielen te bemoeilijken, wil je bijvoorbeeld meer dan één DNS-resolver gebruiken en zeker niet die van Google (8.8.8.8).
Hiervoor zijn zowel DoT- als DoH-clientprogramma’s geschikt. Beide protocollen verhogen de beveiliging en de privésfeer van DNS-requests door ze te versleutelen en de servers te authenticeren. Dat is niet alleen voor anoniem surfen handig. Als bijeffect krijg je bij een onbetrouwbaar netwerk – bijvoorbeeld bij een mobiel netwerk of bij een ongunstige wifiverbinding – meteen een hogere betrouwbaarheid van de name-resolution.