Virksomheder som Microsoft, Google og Mozilla presser fremad med DNS over HTTPS (DoH). Denne teknologi vil kryptere DNS-opslag og forbedre online privatliv og sikkerhed. Men det er kontroversielt: Comcast lobbyer imod det. Her er hvad du behøver at vide.
Indholdsfortegnelse
Hvad er DNS over HTTPS?
Internettet har presset på mod at kryptere alt som standard. På dette tidspunkt bruger de fleste af de websteder, du får adgang til, sandsynligvis HTTPS-kryptering. Moderne webbrowsere som Chrome markerer nu alle websteder, der bruger standard HTTP, som “ikke sikre”. HTTP/3, den nye version af HTTP-protokollen, har indbygget kryptering.
Denne kryptering sikrer, at ingen kan pille ved en webside, mens du ser den, eller snuse efter, hvad du laver online. Hvis du f.eks. opretter forbindelse til Wikipedia.org, kan netværksoperatøren – uanset om det er en virksomheds offentlige Wi-Fi-hotspot eller din internetudbyder – kun se, at du har forbindelse til wikipedia.org. De kan ikke se, hvilken artikel du læser, og de kan ikke ændre en Wikipedia-artikel under transport.
Men i presset mod kryptering er DNS blevet efterladt. Domænenavnesystemet gør det muligt at oprette forbindelse til hjemmesider gennem deres domænenavne frem for ved at bruge numeriske IP-adresser. Du indtaster et domænenavn som google.com, og dit system vil kontakte dens konfigurerede DNS-server for at få den IP-adresse, der er knyttet til google.com. Det vil derefter oprette forbindelse til denne IP-adresse.
Indtil nu er disse DNS-opslag ikke blevet krypteret. Når du opretter forbindelse til et websted, affyrer dit system en anmodning, der siger, at du leder efter den IP-adresse, der er knyttet til det pågældende domæne. Enhver midt imellem – muligvis din internetudbyder, men måske også bare et offentligt Wi-Fi-hotspot, der logger trafik – kunne logge, hvilke domæner du opretter forbindelse til.
DNS over HTTPS lukker denne overvågning. Når DNS over HTTPS, vil dit system oprette en sikker, krypteret forbindelse til din DNS-server og overføre anmodningen og svaret over denne forbindelse. Enhver midt imellem vil ikke være i stand til at se, hvilke domænenavne du slår op, eller manipulere med svaret.
I dag bruger de fleste mennesker de DNS-servere, som deres internetudbyder leverer. Der er dog mange tredjeparts DNS-servere som Cloudflares 1.1.1.1, Google Offentlig DNS, og Åbn DNS. Disse tredjepartsudbydere er blandt de første til at aktivere serversideunderstøttelse af DNS over HTTPS. For at bruge DNS over HTTPS skal du bruge både en DNS-server og en klient (som en webbrowser eller et operativsystem), der understøtter det.
Hvem vil støtte det?
Google og Mozilla tester allerede DNS over HTTPS i Google Chrome og Mozilla Firefox. Den 17. november 2019, Microsoft meddelte det ville være at adoptere DNS over HTTPS i Windows-netværksstakken. Dette vil sikre, at hver applikation på Windows får fordelene ved DNS over HTTPS uden at være eksplicit kodet til at understøtte det.
siger Google det vil aktivere DoH som standard for 1 % af brugerne, der starter i Chrome 79, forventes at blive udgivet den 10. december 2019. Når den version er frigivet, vil du også kunne gå til chrome://flags/#dns-over -https for at aktivere det.
siger Mozilla det vil aktivere DNS over HTTPS for alle i 2019. I den nuværende stabile version af Firefox i dag kan du gå til menu > Indstillinger > Generelt, rulle ned og klikke på “Indstillinger” under Netværksindstillinger for at finde denne mulighed. Aktiver “Aktiver DNS over HTTPS.”
Apple har endnu ikke kommenteret planer for DNS over HTTPS, men vi forventede, at virksomheden ville følge og implementere support i iOS og macOS sammen med resten af industrien.y
Det er ikke aktiveret som standard for alle endnu, men DNS over HTTPS skulle gøre brugen af internettet mere privat og sikker, når den er færdig.
Hvorfor lobbyer Comcast imod det?
Det lyder ikke særlig kontroversielt indtil videre, men det er det. Comcast har tilsyneladende lobbyet kongressen for at forhindre Google i at udrulle DNS over HTTPS.
I et oplæg præsenteret for lovgivere og opnået af Bundkort, Comcast hævder, at Google forfølger “ensidige planer” (“sammen med Mozilla”) for at aktivere DoH og “[centralize] et flertal af verdensomspændende DNS-data med Google”, hvilket ville “markere et grundlæggende skift i den decentraliserede karakter af internettets arkitektur.”
Meget af dette er, helt ærligt, falsk. Mozillas Marshell Erwin fortalte Motherboard, at “diasene generelt er ekstremt vildledende og unøjagtige.” I et blogindlæg skriver Chrome-produktchef Kenji Beaheux påpeger at Google Chrome ikke vil tvinge nogen til at skifte deres DNS-udbyder. Chrome vil adlyde systemets nuværende DNS-udbyder – hvis det ikke understøtter DNS over HTTPS, vil Chrome ikke bruge DNS over HTTPS.
Og i tiden siden har Microsoft annonceret planer om at understøtte DoH på Windows-operativsystemniveau. Med Microsoft, Google og Mozilla, der omfavner det, er dette næppe en “ensidig” ordning fra Google.
Nogle har teoretiseret, at Comcast ikke kan lide DoH, fordi det ikke længere kan indsamle DNS-opslagsdata. Det har Comcast dog lovet det spionerer ikke på dine DNS-opslag. Virksomheden insisterer på, at den understøtter krypteret DNS, men ønsker en “samarbejdsorienteret, branchedækkende løsning” snarere end “ensidig handling.” Comcasts beskeder er rodet – dets argumenter mod DNS over HTTPS var tydeligvis beregnet til lovgivernes øjne, ikke offentlighedens.
Hvordan fungerer DNS over HTTPS?
Med Comcasts mærkelige indvendinger til side, lad os tage et kig på, hvordan DNS over HTTPS faktisk vil fungere. Når DoH-support går live i Chrome, vil Chrome kun bruge DNS over HTTPS, hvis systemets nuværende DNS-server understøtter det.
Med andre ord, hvis du har Comcast som internetudbyder, og Comcast nægter at understøtte DoH, vil Chrome fungere som i dag uden at kryptere dine DNS-opslag. Hvis du har konfigureret en anden DNS-server – måske har du valgt Cloudflare DNS, Google Public DNS eller OpenDNS, eller måske understøtter din internetudbyders DNS-servere DoH – vil Chrome bruge kryptering til at tale med din nuværende DNS-server og automatisk “opgradere” forbindelse. Brugere kan vælge at skifte væk fra DNS-udbydere, der ikke tilbyder DoH – som Comcasts – men Chrome vil ikke automatisk gøre dette.
Dette betyder også, at eventuelle indholdsfiltreringsløsninger, der bruger DNS, ikke bliver afbrudt. Hvis du bruger OpenDNS og konfigurerer bestemte websteder til at blive blokeret, vil Chrome forlade OpenDNS som din standard DNS-server, og intet vil ændre sig.
Firefox fungerer lidt anderledes. Mozilla har valgt at gå med Cloudflare som Firefoxs krypterede DNS-udbyder i USA. Selvom du har konfigureret en anden DNS-server, sender Firefox dine DNS-anmodninger til Cloudflares 1.1.1.1 DNS-server. Firefox vil lade dig deaktivere dette eller bruge en brugerdefineret krypteret DNS-udbyder, men Cloudflare vil være standard.
Microsoft siger, at DNS over HTTPS i Windows 10 vil fungere på samme måde som Chrome. Windows 10 adlyder din standard DNS-server og aktiverer kun DoH, hvis din valgte DNS-server understøtter det. Microsoft siger dog, at det vil guide “privatlivsorienterede Windows-brugere og administratorer” til DNS-serverindstillinger.
Windows 10 kan opfordre dig til at skifte DNS-servere til en, der er sikret med DoH, men Microsoft siger, at Windows ikke vil foretage skiftet for dig.