Wat is Encrypted Client Hello (ECH) en waarom is het belangrijk?

ECH is een beveiligingsfunctie die beschikbaar is in Firefox en andere grote webbrowsers, die een gat in de bestaande online privacy- en beveiligingsinfrastructuur vult waarmee de websites die een gebruiker bezoekt te zien zijn voor tussenpersonen op een netwerk, zoals ISP’s en andere ongeautoriseerde partijen.

Hoe schakel ik ECH in Firefox in?

Werk om ECH in Firefox te gebruiken Firefox bij als u versie 118 of hoger niet gebruikt en schakel DNS over HTTPS in.

Hoe weet ik of ECH voor mij beschikbaar is?

ECH in Firefox was voor het eerst beschikbaar in Firefox versie 118 en is standaard ingeschakeld in Firefox 119 en hoger. ECH is echter alleen actief als DoH is ingeschakeld. Meer info over het DoH-uitrolschema.

Heeft ECH invloed op mijn internetsnelheid?

Nee. ECH vereist het ophalen van een zeer kleine hoeveelheid extra gegevens bij het verbinden met een website. Deze gegevens zijn slechts een paar honderd bytes groot en te klein om enig effect te hebben op uw internetsnelheid. Firefox haalt deze gegevens gelijktijdig op met het uitvoeren van een DNS-zoekopdracht bij het verbinden met een website, zodat er geen extra vertraging is in de verbinding.

Heeft ECH invloed op websitecompatibiliteit?

ECH is zorgvuldig ontworpen om samen te werken met bestaande websites en servers. De huidige standaarden vereisen dat servers ECH negeren als ze het niet begrijpen, en Firefox begrijpt hoe de verbinding tot stand moet worden gebracht zonder onderbreking van uw navigatie. We hebben een aantal onderzoeken en tests uitgevoerd om ervoor te zorgen dat websites correct blijven werken.

Kan ik ECH gebruiken naast andere beveiligingshulpmiddelen zoals adblockers?

Ja, ECH kan samen met adblockers worden gebruikt. Adblockers die als extensie zijn geïntegreerd met Firefox werken automatisch met ECH en vereisen geen wijzigingen. Gebruikers die echter DNS-gebaseerde filters gebruiken, dienen mogelijk hun configuratie aan te passen om ECH te kunnen gebruiken. Firefox dient te zijn geconfigureerd met een DNS-over-HTTPS-server om ECH te kunnen gebruiken. Afhankelijk van de vraag of het DNS-filter lokaal wordt gehost of bij een online provider, verschillen de instructies voor het verbinden via DoH en gebruikers van deze services dienen de bijbehorende documentatie te raadplegen.

Kan ik ECH gebruiken naast andere beveiligingshulpmiddelen zoals VPN’s?

Ja, in feite kan het combineren van ECH met een VPN een extra privacy- en beveiligingslaag bieden. Om ECH met een VPN te gebruiken dient het DNS over HTTPS-beschermingsniveau te zijn geconfigureerd als de modus Verhoogd of Maximale bescherming. Dit is omdat de beschermingsmodus Standaard de DNS van de VPN-provider gebruikt in plaats van DoH om ervoor te zorgen dat verkeer langs de juiste route wordt geleid. Merk op dat waar VPN’s worden gebruikt in een zakelijke of zelfgehoste omgeving om te verbinden met bronnen die niet beschikbaar zijn op het openbare internet, het wijzigen van het DNS-beschermingsniveau die privébronnen onbeschikbaar kan maken in Firefox.

Zijn er privacyzorgen of negatieve aspecten in relatie tot ECH?

ECH is een waardevol hulpmiddel voor het versterken van uw online privacy en beveiliging, omdat het uw initiële websiteverbindingen versleutelt. Desondanks is het belangrijk op te merken dat veel websites ECH niet direct zullen ondersteunen, wat betekent dat verbindingen met die websites niet profiteren van de extra privacy die ECH biedt. Zorg ervoor dat uw Firefox-browser bijgewerkt blijft om beschermd te blijven, zodat u de laatste beveiligingsverbeteringen ontvangt, waaronder ECH. Anders dan bij technologieën zoals VPN’s, stuurt ECH uw internetverkeer niet door of betrekt het externe partijen erbij; het voegt simpelweg een extra versleutelingslaag toe aan uw standaardverbindingen.

Zullen gebruikers veranderingen in hun surfervaring opmerken ten gevolge van deze versleuteling?

Firefox-gebruikers zouden geen verschil moeten merken met hun gebruikelijke surfervaring.

Welke impact heeft ECH op ouderlijk toezicht?

Als ouderlijk toezicht wordt gebruikt, is ECH-versleuteling uitgeschakeld om interferentie met ouderlijk toezicht te voorkomen.

Welke impact heeft ECH op ondernemingen die transparante proxy’s gebruiken?

ECH-versleuteling wordt automatisch uitgeschakeld als proxy’s of middleboxes die door de browser worden vertrouwd worden gedetecteerd, dus hier is geen impact op.

Welke interactie is er tussen ECH en de opt-outs van DoH?

DoH-opt-outs schakelen ECH-versleuteling standaard uit in Firefox. Deze opt-outs kunnen worden geconfigureerd door de gebruiker of door op hun apparaat geïnstallleerd software, door signalen vanaf het netwerk of door een beheerder administrator via groepsbeleid. Als de gebruiker of beheerder expliciet kiest voor verhoogde of maximale DoH-bescherming, gaat hun keuze boven signalen van het netwerk.

Welke websites kunnen ECH gebruiken?

Elke website kan ECH toepassen, zolang deze is uitgerust met de benodigde ondersteuning aan de serverkant. De optimale privacy wordt vaak bereikt als meerdere websites worden gehost door een enkele webserver, een veel voorkomende configuratie in het internetecosysteem van vandaag.

Waarom kunnen gebruikers ECH niet direct aansturen?

In lijn met onze toewijding aan privacy en beveiliging als standaard, willen we Firefox verschepen met een complete set beschermingen standaard ingeschakeld. Als gevolg hiervan is ECH standaard ingeschakeld, maar wordt dit niet gebruikt als gezinsveiligheidssoftware wordt gebruikt of als Firefox is geconfigureerd als onderdeel van een onderneming. Dit is vergelijkbaar met andere beveiligings- en privacytechnologieën die in Firefox worden gebruikt, zoals TLS 1.3, dat ook niet beschikbaar is als gebruikersinstelling.

Kan ik ECH met elke DoH-provider gebruiken?

Ja! Alle DoH-servers, of ze nu lokaal gehost worden of via online services worden geleverd, kunnen worden gebruikt om ECH-records op te halen.

Kan ik ECH gebruiken zonder DoH?

Het gebruik van ECH zonder DoH is momenteel niet mogelijk in Firefox. ECH is afhankelijk van DoH voor haar functionaliteit, omdat het de initiële verbinding met een website versleutelt door de encryptiesleutels die worden geleverd door DNS over HTTPS te gebruiken. U dient daarom DoH te hebben ingeschakeld om ECH in Firefox te kunnen gebruiken.

Onthoud dat zonder DoH in Firefox, DNS-zoekopdrachten niet versleuteld zijn op uw lokale netwerk, en dat deze in toenemende mate worden gemonitord. Als u liever een lokale DNS-server gebruikt, hebt u de optie om DNS over HTTPS (DoH) zelf te hosten, waardoor de versleuteling van uw DNS-verkeer wordt uitgebreid naar uw lokale netwerk.

Waarom is ECH afhankelijk van DoH?

ECH is afhankelijk van een nieuw type DNS-record genaamd een HTTPS Resource Record, dat beschrijft hoe ECH moet worden gebruikt ECH om te verbinden met een website. Om ECH een effectieve privacy te laten bieden, moeten deze records worden opgehaald via een versleutelde verbinding en daarom gebruikt Firefox DoH hiervoor.

We weten dat sommige expertgebruikers er de voorkeur aan geven hun DNS-resolvers lokaal te hosten. In dit geval raden we u aan een DoH-server zelf te hosten en Firefox te configureren om deze te gebruiken. Dit zorgt ervoor dat uw lokale DNS-verkeer wordt versleuteld tussen uw client en uw server, waardoor wordt voorkomen dat andere apparaten op uw lokale netwerk het kunnen monitoren. Als alternatief kunt u, als dit wordt ondersteund, Firefox configureren om dezelfde upstream DNS-provider te gebruiken als uw lokale resolver via de DNS-instellingenpagina.

Terwijl ondersteuning voor DoH en andere versleutelde DNS-communicatie door besturingssystemen steeds verder verbetert, onderzoeken we welke engineering nodig is om het ophalen van deze records via het besturingssysteem te ondersteunen.

Hoe kan ik zien of ECH voor mij werkt?

ECH is niet zichtbaar in de browserinterface, maar u kunt controleren of het voor u werkt met de Browser Security Check van Cloudflare.

Meer info

• Encrypted Client Hello (ECH) begrijpen
• Technisch ECH-artikel op Mozilla’s Wiki (voor gevorderde gebruikers)
• Firefox DNS-over-HTTPS
• DNS over HTTPS-beschermingsniveau’s configureren in Firefox