Under hela Internets historia har traditionell DNS-trafik (till exempel användarförfrågningar om att komma åt vissa webbplatser) i stort sett varit okrypterad. Detta innebär att varje gång du slår upp en webbadress i "internettelefonboken" kan varje del av DNS-värdekedjan som tar emot din förfrågan undersöka dessa frågor och svar, eller till och med ändra dem. Krypterad DNS, till exempel med DNS över HTTPS (DoH), ändrar det. Flera stora internetföretag, som Apple, Mozilla, Microsoft och Google, implementerar krypterad DNS genom DoH i sina tjänster och applikationer. Mozilla var en tidig användare av DoH i sin webbläsare i USA i slutet av 2018, medan Apple implementerar det med uppdateringar till iOS 14 och macOS 11 hösten 2020, och Google implementerar DoH i Chrome för Android.
Världens telefonkatalog på Internet
DNS (Domain Name System) fungerar i princip som Internettelefonboken. Om vi tänker på toppdomänen (längst till höger på en webbadress, som .com, .org eller .info) som likvärdig med en landskod eller riktnummer, kommer den andra nivån (i fallet med .eco. de international, skulle det vara .eco.) som standardnummer för företaget, och den tredje nivån (internationell) som den specifika förlängningen, är det möjligt att få en bild av hur denna katalog är sammanställd och hur datorer fungerar hittar tjänst som vill besöka. DNS-upplösare är ansvariga för att hitta internetresursen (till exempel en webbplats) som du skrev på din dator eller telefon. Den första DNS-resolver som din enhet är ansluten till lokalt är din hem- eller arbetsrouter, eller en offentlig hotspot. Denna resolver följer en rad steg och letar efter eventuella förkonfigurerade inställningar på enheten eller ett register över tidigare besök på den givna webbplatsen (kallad cache). I annat fall kommer resolvern att vidarebefordra DNS-frågan till nästa resolver, till exempel den för internetleverantören (ISP) du är ansluten till. Denna resolver kommer att följa samma steg och så småningom, om allt annat misslyckas, kommer den att slå upp domänen i "internettelefonboken".
Vilka risker skyddar DoH användare mot?
Ett av målen som eftersträvades med utvecklingen av DoH-protokollet var att öka användarnas konfidentialitet och säkerhet genom att undvika avlyssning och manipulation av DNS-data. Kryptering av DNS-trafik skyddar dig från möjligheten att en illvillig aktör kan omdirigera dig till en annan (skadlig) destination, till exempel en falsk bankwebbplats istället för den du tänkt besöka. Denna typ av cyberattack är känd som en Man-in-the-Middle (MITM) attack. Att kryptera DNS via DoH (eller det associerade DoT-protokollet) är den enda realistiska lösningen som finns tillgänglig för närvarande. Att tjäna pengar på DNS-data, till exempel för marknadsföringsändamål, är en potentiell och realistisk sekretessfråga som DoH-utvecklare också ville ta itu med.
Skydda användare på offentliga nätverk
När du använder ett allmänt trådlöst nätverk (Wi-Fi) på hotell, kaféer etc. kan DNS-förfrågedata från din mobiltelefon användas för att analysera ditt beteende och spåra dig över nätverk. Ofta är dessa DNS-tjänster en del av en globalt tillgänglig allt-i-ett Wi-Fi-lösning; kanske inte är tillräckliga för att följa lokala integritetslagar och integritetsskyddsinställningar eventuellt inte. är inte aktiverad. Dessutom är gratis offentliga Wi-Fi-tjänster, särskilt när de drivs eller tillhandahålls av små företag, ofta dåligt hanterade när det gäller säkerhet och prestanda, vilket gör dig sårbar för attacker från dina nätverk. DoH skyddar användare av dessa offentliga trådlösa nätverk eftersom Wi-Fi-nätverkets DNS-resolver förbigås, vilket förhindrar användarspårning och datamanipulation på denna nivå. Därför ger DoH möjligheten att skydda kommunikation i en opålitlig miljö.
Vad förändras med DoH?
DNS över HTTPS i sig ändrar bara transportmekanismen med vilken din enhet och resolvern kommunicerar. Förfrågningar och svar krypteras med det välkända HTTPS-protokollet. För närvarande, eftersom få DoH-resolvers ännu har implementerats och arbetet fortfarande pågår för att tekniskt tillåta DoH-resolvers att vara "upptäckbara", kringgår DNS-frågor som använder DoH vanligtvis den lokala resolvern och hanteras istället av en lokal resolver. extern tredje part DoH-leverantör som redan har utsetts av respektive mjukvaruutvecklare eller tillverkare. Fler och fler leverantörer beslutar om de ska erbjuda sina egna DoH-tjänster eller inte.
Vill jag ha DoH på mitt företagsnätverk?
Även om DoH är ett användbart sätt att skydda dig själv när du använder en offentlig hotspot, kanske det inte är det föredragna alternativet för pålitliga nätverksmiljöer, som företagsnätverk eller företagstjänster. Internetåtkomst köpt från en betrodd internetleverantör. Ditt företag, till exempel, kan ha legitima skäl att förbjuda en app som ignorerar och åsidosätter systemets standardinställningar; detta kan till och med anses vara potentiellt farligt, eftersom nätverksadministratören inte kan kontrollera det inom nätverket. . Många av problemen med företagsnätverk försvinner om DoH implementeras på systemnivå snarare än applikationsnivå. På systemnivå, till exempel, kan en företagsnätverksadministratör konfigurera systemet och skapa en policy som säkerställer att medan enheten är på företagets nätverk, bör företagets resolver användas, men i medan enheten är på ett offentligt nätverk , DoH bör användas för att förbättra säkerhet och integritet. Men om DoH implementeras som standard på applikationsnivå ignoreras dessa olika konfigurationer. Det finns andra farhågor kring att använda extern DNS-resolver via DoH, allt från potentiellt långsamma svarstider till att kringgå föräldrakontroller och lagstadgade blockering. Men generellt sett uppvägs många av de möjliga nackdelarna med DoH av lika många fördelar, beroende på sammanhanget. Det är ingen tvekan om det: DNS-kryptering förbättrar användarnas säkerhet och integritet. DoH kan ge ett enkelt sätt att göra detta. Men om du aktiverar DoH, se till att utbilda dig själv om vem som kommer att hantera DoH-upplösning, hur de hanterar din data och om du enkelt kan inaktivera den när du behöver.