Hur DNS över HTTPS (DoH) kommer att öka integriteten online

Förbättrad integritet online med DNS över HTTPS

Teknikjättar som Microsoft, Google och Mozilla driver på utvecklingen av DNS över HTTPS (DoH), en teknik som krypterar DNS-förfrågningar för att öka säkerheten och integriteten online. Denna utveckling har dock inte skett utan kontroverser, då Comcast lobbar aktivt emot tekniken. Nedan förklarar vi vad du behöver veta om DoH.

Vad innebär DNS över HTTPS?

Webbutvecklingen strävar mot en standard där allt krypteras. De flesta webbplatser du besöker använder idag HTTPS-kryptering och webbläsare som Chrome varnar för webbplatser som använder standard-HTTP som osäkra. HTTP/3, den senaste versionen av HTTP-protokollet, har inbyggd kryptering som standard.

Kryptering förhindrar obehöriga från att manipulera webbsidor eller övervaka din internetaktivitet. När du ansluter till exempelvis Wikipedia.org, kan nätverksoperatören – oavsett om det är ett publikt Wi-Fi eller din internetleverantör – se att du ansluter till domänen wikipedia.org. De kan däremot inte se vilken artikel du läser eller ändra innehållet under överföringen.

Domännamnssystemet (DNS) har dock hamnat efter i denna krypteringsutveckling. DNS gör det möjligt att ansluta till webbplatser med hjälp av domännamn istället för numeriska IP-adresser. När du skriver in ett domännamn som google.com, kontaktar din enhet sin DNS-server för att hitta den IP-adress som är kopplad till google.com. Enheten ansluter sedan till denna IP-adress.

Tidigare har DNS-förfrågningar varit okrypterade. När du försöker ansluta till en webbplats, skickar din enhet en förfrågan som avslöjar att du letar efter IP-adressen som hör till den domänen. Denna information är synlig för mellanhänder, som din internetleverantör eller operatören av ett publikt Wi-Fi, som potentiellt kan logga vilka domäner du ansluter till.

DNS över HTTPS (DoH) åtgärdar denna sårbarhet. Med DoH upprättar din enhet en säker, krypterad anslutning till din DNS-server. Både förfrågningar och svar överförs sedan över denna krypterade anslutning, vilket hindrar mellanhänder från att se vilka domännamn du söker efter och manipulera svaren.

Majoriteten av internetanvändare nyttjar de DNS-servrar som tillhandahålls av deras internetleverantörer, men det finns flera tredjeparts DNS-servrar som Cloudflares 1.1.1.1, Google Public DNS och OpenDNS. Dessa tredjepartsleverantörer är bland de första som stödjer DNS över HTTPS. För att kunna använda DoH krävs både en server och en klient (som en webbläsare eller ett operativsystem) som har stöd för funktionen.

Vilka stödjer DNS över HTTPS?

Google och Mozilla testar redan DNS över HTTPS i sina webbläsare Chrome och Firefox. Microsoft meddelade också den 17 november 2019 att de skulle införa DNS över HTTPS i Windows nätverksstack. Detta innebär att varje applikation i Windows kommer att kunna dra nytta av DoH, även utan att det explicit har programmerats för stöd.

Google har meddelat att DoH kommer att vara aktiverat som standard för 1% av användarna från och med Chrome 79, som lanserades den 10 december 2019. Användare kan även aktivera funktionen manuellt genom att gå till chrome://flags/#dns-over-https.

Mozilla har meddelat att de aktiverar DNS över HTTPS för alla under 2019. I den nuvarande stabila versionen av Firefox kan användare hitta alternativet genom att gå till menyn > Inställningar > Allmänt, scrolla ner till ”Nätverksinställningar” och klicka på ”Inställningar”. Där kan du aktivera ”Aktivera DNS över HTTPS”.

Apple har ännu inte offentliggjort sina planer för DoH, men det förväntas att de följer resten av branschen och implementerar support i iOS och macOS.

DNS över HTTPS är ännu inte aktiverat som standard för alla, men när det väl är på plats kommer det att göra användningen av internet både säkrare och mer privat.

Varför motarbetar Comcast DNS över HTTPS?

Trots de fördelar som DoH erbjuder, har Comcast aktivt motarbetat utrullningen, särskilt från Google.

I en presentation som presenterades för beslutsfattare och som Motherboard publicerade, hävdar Comcast att Google (tillsammans med Mozilla) driver en ensidig plan att aktivera DoH som kommer att centralisera en stor del av världens DNS-data hos Google. Detta, menar Comcast, skulle innebära en stor förändring i internets decentraliserade arkitektur.

Enligt Mozilla, är Comcasts presentation direkt felaktig och missvisande. Googles produktchef, Kenji Beaheux, förtydligade att Chrome inte kommer att tvinga någon att byta DNS-leverantör. Chrome kommer att fortsätta att använda systemets befintliga DNS-leverantör – om den inte stöder DoH, kommer Chrome inte att använda den funktionen.

Dessutom har Microsoft gått ut med att de planerar att implementera DoH i Windows operativsystem, vilket visar att stödet inte är ”ensidigt” från Googles håll.

Det har spekulerats i att Comcast inte uppskattar DoH eftersom det förhindrar dem från att samla in DNS-data. Comcast har försäkrat att de inte spionerar på användares DNS-förfrågningar. De insisterar på att de stödjer krypterad DNS, men föredrar en samverkande lösning över en ensidig. Comcasts budskap är förvirrande då de å ena sidan kritiserar tekniken, men samtidigt säger sig stödja den, vilket indikerar att deras argument riktar sig mer mot beslutsfattare än allmänheten.

Hur fungerar DNS över HTTPS?

Låt oss bortse från Comcasts invändningar och istället titta på hur DNS över HTTPS faktiskt fungerar. När DoH är aktiverat i Chrome kommer webbläsaren enbart att använda funktionen om systemets befintliga DNS-server stödjer det.

Om du till exempel har Comcast som internetleverantör och Comcast vägrar att stödja DoH, kommer Chrome att fungera som vanligt och dina DNS-förfrågningar kommer inte att krypteras. Om du däremot har en annan DNS-server konfigurerad, till exempel Cloudflares DNS, Google Public DNS eller OpenDNS, eller om din internetleverantörs DNS-server stöder DoH, kommer Chrome att kryptera kommunikationen med den servern. Användare kan själva välja bort DNS-leverantörer som inte erbjuder DoH, men Chrome kommer inte att göra det automatiskt.

Detta innebär också att alla innehållsfilterlösningar som använder DNS inte kommer att störas. Om du använder OpenDNS och har konfigurerat vissa webbplatser för att blockeras, kommer Chrome att fortsätta att använda OpenDNS som standard.

Firefox har valt en annan approach. Mozilla har ingått ett partnerskap med Cloudflare för att tillhandahålla krypterad DNS i USA. Även om du har en annan DNS-server konfigurerad, kommer Firefox att skicka dina DNS-förfrågningar till Cloudflares 1.1.1.1 DNS-server som standard. Du kan avaktivera detta eller använda en egen krypterad DNS-leverantör, men Cloudflare är standardinställningen.

Microsoft har meddelat att DNS över HTTPS i Windows 10 kommer att fungera på samma sätt som i Chrome. Windows 10 kommer att använda din befintliga DNS-server och endast aktivera DoH om den servern stödjer det. Microsoft planerar också att hjälpa ”integritetsmedvetna Windows-användare och administratörer” att navigera i DNS-serverinställningarna.

Windows 10 kan uppmana dig att byta till en DNS-server som erbjuder DoH, men Microsoft har förtydligat att Windows inte kommer att göra bytet åt dig.