Företag som Microsoft, Google och Mozilla driver framåt med DNS över HTTPS (DoH). Den här tekniken kommer att kryptera DNS-sökningar, vilket förbättrar integritet och säkerhet online. Men det är kontroversiellt: Comcast lobbar mot det. Här är vad du behöver veta.
Innehållsförteckning
Vad är DNS över HTTPS?
Webben har drivit mot att kryptera allt som standard. Vid det här laget använder de flesta webbplatser du besöker sannolikt HTTPS-kryptering. Moderna webbläsare som Chrome markerar nu alla webbplatser som använder standard HTTP som ”inte säkra”. HTTP/3, den nya versionen av HTTP-protokollet, har inbyggd kryptering.
Den här krypteringen säkerställer att ingen kan manipulera en webbsida medan du tittar på den eller snoka efter vad du gör online. Om du till exempel ansluter till Wikipedia.org kan nätverksoperatören – oavsett om det är ett företags offentliga Wi-Fi-hotspot eller din internetleverantör – bara se att du är ansluten till wikipedia.org. De kan inte se vilken artikel du läser, och de kan inte ändra en Wikipedia-artikel under transport.
Men i strävan mot kryptering har DNS lämnats bakom. Domännamnssystemet gör det möjligt att ansluta till webbplatser genom deras domännamn snarare än genom att använda numeriska IP-adresser. Du skriver ett domännamn som google.com, och ditt system kommer att kontakta sin konfigurerade DNS-server för att få IP-adressen som är kopplad till google.com. Den kommer sedan att ansluta till den IP-adressen.
Fram till nu har dessa DNS-uppslagningar inte krypterats. När du ansluter till en webbplats avfyrar ditt system en begäran som säger att du letar efter IP-adressen som är kopplad till den domänen. Vem som helst däremellan – möjligen din internetleverantör, men kanske också bara en offentlig Wi-Fi-hotspot som loggar trafik – kan logga vilka domäner du ansluter till.
DNS över HTTPS stänger denna tillsyn. När DNS över HTTPS kommer ditt system att göra en säker, krypterad anslutning till din DNS-server och överföra begäran och svaret över den anslutningen. Någon däremellan kommer inte att kunna se vilka domännamn du letar upp eller manipulera med svaret.
Idag använder de flesta de DNS-servrar som tillhandahålls av deras internetleverantör. Men det finns många tredjeparts DNS-servrar som Cloudflares 1.1.1.1, Google Public DNSoch ÖppnaDNS. Dessa tredjepartsleverantörer är bland de första som aktiverar serversidans stöd för DNS över HTTPS. För att använda DNS över HTTPS behöver du både en DNS-server och en klient (som en webbläsare eller operativsystem) som stöder det.
Vem kommer att stödja det?
Google och Mozilla testar redan DNS över HTTPS i Google Chrome och Mozilla Firefox. Den 17 november 2019, Microsoft meddelade det skulle anta DNS över HTTPS i Windows-nätverksstacken. Detta kommer att säkerställa att varje applikation på Windows kommer att få fördelarna med DNS över HTTPS utan att vara explicit kodad för att stödja det.
säger Google det kommer att aktivera DoH som standard för 1 % av användarna som börjar i Chrome 79, som förväntas släppas den 10 december 2019. När den versionen släpps kommer du också att kunna gå till chrome://flags/#dns-over -https för att aktivera det.
säger Mozilla det kommer att aktivera DNS över HTTPS för alla under 2019. I den nuvarande stabila versionen av Firefox idag kan du gå till menyn > Alternativ > Allmänt, scrolla ner och klicka på ”Inställningar” under Nätverksinställningar för att hitta det här alternativet. Aktivera ”Aktivera DNS över HTTPS.”
Apple har ännu inte kommenterat planerna för DNS över HTTPS, men vi förväntade oss att företaget skulle följa och implementera support i iOS och macOS tillsammans med resten av branschen.y
Det är inte aktiverat som standard för alla ännu, men DNS över HTTPS borde göra användningen av internet mer privat och säker när det är klart.
Varför lobbar Comcast emot det?
Det här låter inte särskilt kontroversiellt än så länge, men det är det. Comcast har uppenbarligen arbetat på kongressen för att stoppa Google från att rulla ut DNS över HTTPS.
I en presentation presenterad för lagstiftare och erhållen av ModerkortComcast hävdar att Google driver ”ensidiga planer” (”tillsammans med Mozilla”) för att aktivera DoH och ”[centralize] en majoritet av världsomspännande DNS-data med Google”, vilket skulle ”markera en grundläggande förändring i den decentraliserade karaktären av internets arkitektur.”
Mycket av detta är uppriktigt sagt falskt. Mozillas Marshell Erwin sa till Motherboard att ”bilderna överlag är extremt missvisande och felaktiga.” I ett blogginlägg, Chrome produktchef Kenji Beaheux pekar ut att Google Chrome inte kommer att tvinga någon att byta DNS-leverantör. Chrome kommer att lyda systemets nuvarande DNS-leverantör – om den inte stöder DNS över HTTPS kommer Chrome inte att använda DNS över HTTPS.
Och under tiden sedan dess har Microsoft meddelat planer på att stödja DoH på Windows-operativsystemnivå. Med Microsoft, Google och Mozilla som omfamnar det är detta knappast ett ”ensidigt” system från Google.
Vissa har teoretiserat att Comcast inte gillar DoH eftersom det inte längre kan samla in DNS-uppslagsdata. Det har dock Comcast lovat det spionerar inte på dina DNS-uppslagningar. Företaget insisterar på att det stöder krypterad DNS men vill ha en ”samverkande, branschomfattande lösning” snarare än ”ensidiga åtgärder.” Comcasts meddelanden är rörig – dess argument mot DNS över HTTPS var helt klart menade för lagstiftares ögon, inte allmänhetens.
Hur fungerar DNS över HTTPS?
Med Comcasts konstiga invändningar åt sidan, låt oss ta en titt på hur DNS över HTTPS faktiskt kommer att fungera. När DoH-stöd aktiveras i Chrome kommer Chrome att använda DNS över HTTPS endast om systemets nuvarande DNS-server stöder det.
Med andra ord, om du har Comcast som internetleverantör och Comcast vägrar att stödja DoH kommer Chrome att fungera som det gör idag utan att kryptera dina DNS-uppslagningar. Om du har en annan DNS-server konfigurerad – du kanske har valt Cloudflare DNS, Google Public DNS eller OpenDNS, eller kanske din Internetleverantörs DNS-servrar stöder DoH – kommer Chrome att använda kryptering för att prata med din nuvarande DNS-server, och automatiskt ”uppgradera” förbindelse. Användare kan välja att byta bort från DNS-leverantörer som inte erbjuder DoH – som Comcasts – men Chrome kommer inte att göra detta automatiskt.
Detta innebär också att alla innehållsfiltreringslösningar som använder DNS inte kommer att avbrytas. Om du använder OpenDNS och konfigurerar vissa webbplatser för att blockeras kommer Chrome att lämna OpenDNS som din standard DNS-server, och ingenting kommer att förändras.
Firefox fungerar lite annorlunda. Mozilla har valt att gå med Cloudflare som Firefoxs krypterade DNS-leverantör i USA. Även om du har en annan DNS-server konfigurerad, skickar Firefox dina DNS-förfrågningar till Cloudflares 1.1.1.1 DNS-server. Firefox låter dig inaktivera detta eller använda en anpassad krypterad DNS-leverantör, men Cloudflare kommer att vara standard.
Microsoft säger att DNS över HTTPS i Windows 10 kommer att fungera på samma sätt som Chrome. Windows 10 följer din standard DNS-server och aktiverar endast DoH om din valda DNS-server stöder det. Microsoft säger dock att det kommer att guida ”sekretessinriktade Windows-användare och administratörer” till DNS-serverinställningar.
Windows 10 kan uppmuntra dig att byta DNS-servrar till en som är säkrad med DoH, men Microsoft säger att Windows inte kommer att göra bytet åt dig.