Selskaper som Microsoft, Google og Mozilla presser fremover med DNS over HTTPS (DoH). Denne teknologien vil kryptere DNS-oppslag, forbedre personvern og sikkerhet på nettet. Men det er kontroversielt: Comcast driver lobbyvirksomhet mot det. Her er det du trenger å vite.
Innholdsfortegnelse
Hva er DNS over HTTPS?
Internett har presset på mot å kryptere alt som standard. På dette tidspunktet bruker de fleste nettstedene du besøker sannsynligvis HTTPS-kryptering. Moderne nettlesere som Chrome markerer nå alle nettsteder som bruker standard HTTP som «ikke sikre». HTTP/3, den nye versjonen av HTTP-protokollen, har innbakt kryptering.
Denne krypteringen sikrer at ingen kan tukle med en nettside mens du ser på den eller snoke på det du gjør på nettet. Hvis du for eksempel kobler til Wikipedia.org, kan nettverksoperatøren – enten det er en bedrifts offentlige Wi-Fi-hotspot eller Internett-leverandøren din – bare se at du er koblet til wikipedia.org. De kan ikke se hvilken artikkel du leser, og de kan ikke endre en Wikipedia-artikkel under transport.
Men i presset mot kryptering har DNS blitt etterlatt. Domenenavnsystemet gjør det mulig å koble til nettsider gjennom domenenavnene deres i stedet for ved å bruke numeriske IP-adresser. Du skriver inn et domenenavn som google.com, og systemet vil kontakte den konfigurerte DNS-serveren for å få IP-adressen knyttet til google.com. Den vil deretter koble til den IP-adressen.
Til nå har disse DNS-oppslagene ikke blitt kryptert. Når du kobler til et nettsted, avfyrer systemet en forespørsel som sier at du leter etter IP-adressen knyttet til det domenet. Alle i mellom – muligens Internett-leverandøren din, men kanskje også bare en offentlig Wi-Fi-hotspot som logger trafikk – kan logge hvilke domener du kobler til.
DNS over HTTPS lukker denne kontrollen. Når DNS over HTTPS, vil systemet opprette en sikker, kryptert tilkobling til DNS-serveren og overføre forespørselen og svaret over den tilkoblingen. Alle i mellom vil ikke kunne se hvilke domenenavn du slår opp eller tukle med svaret.
I dag bruker de fleste DNS-serverne som tilbys av deres internettleverandør. Imidlertid er det mange tredjeparts DNS-servere som Cloudflares 1.1.1.1, Googles offentlige DNSog ÅpneDNS. Disse tredjepartsleverandørene er blant de første som aktiverer serversidestøtte for DNS over HTTPS. For å bruke DNS over HTTPS, trenger du både en DNS-server og en klient (som en nettleser eller operativsystem) som støtter det.
Hvem vil støtte det?
Google og Mozilla tester allerede DNS over HTTPS i Google Chrome og Mozilla Firefox. 17. november 2019, Microsoft annonserte det ville være å ta i bruk DNS over HTTPS i Windows-nettverksstabelen. Dette vil sikre at alle applikasjoner på Windows får fordelene med DNS over HTTPS uten å være eksplisitt kodet for å støtte det.
sier Google den vil aktivere DoH som standard for 1 % av brukerne som starter i Chrome 79, forventet utgivelse 10. desember 2019. Når den versjonen er utgitt, vil du også kunne gå til chrome://flags/#dns-over -https for å aktivere det.
sier Mozilla det vil aktivere DNS over HTTPS for alle i 2019. I den nåværende stabile versjonen av Firefox i dag, kan du gå til menyen > Alternativer > Generelt, bla ned og klikk «Innstillinger» under Nettverksinnstillinger for å finne dette alternativet. Aktiver «Aktiver DNS over HTTPS.»
Apple har ennå ikke kommentert planene for DNS over HTTPS, men vi forventet at selskapet skulle følge og implementere støtte i iOS og macOS sammen med resten av bransjen.y
Det er ikke aktivert som standard for alle ennå, men DNS over HTTPS bør gjøre bruken av internett mer privat og sikker når den er ferdig.
Hvorfor driver Comcast lobbyvirksomhet mot det?
Dette høres ikke veldig kontroversielt ut så langt, men det er det. Comcast har tilsynelatende drevet lobbyvirksomhet på kongressen for å stoppe Google fra å rulle ut DNS over HTTPS.
I en presentasjon presentert for lovgivere og innhentet av Hovedkorthevder Comcast at Google følger «ensidige planer» («sammen med Mozilla») for å aktivere DoH og «[centralize] et flertall av verdensomspennende DNS-data med Google,» som ville «markere et grunnleggende skifte i den desentraliserte naturen til Internetts arkitektur.»
Mye av dette er, helt ærlig, falskt. Mozillas Marshell Erwin sa til Motherboard at «slidene totalt sett er ekstremt misvisende og unøyaktige.» I et blogginnlegg skriver Chrome-produktsjef Kenji Beaheux påpeker at Google Chrome ikke vil tvinge noen til å bytte DNS-leverandør. Chrome vil adlyde systemets nåværende DNS-leverandør – hvis den ikke støtter DNS over HTTPS, vil ikke Chrome bruke DNS over HTTPS.
Og i tiden etterpå har Microsoft annonsert planer om å støtte DoH på Windows-operativsystemnivå. Med Microsoft, Google og Mozilla som omfavner det, er dette neppe en «ensidig» ordning fra Google.
Noen har teoretisert at Comcast ikke liker DoH fordi den ikke lenger kan samle inn DNS-oppslagsdata. Det har imidlertid Comcast lovet den spionerer ikke på DNS-oppslagene dine. Selskapet insisterer på at det støtter kryptert DNS, men ønsker en «samarbeidende, bransjeomfattende løsning» i stedet for «ensidig handling.» Comcasts meldinger er rotete – argumentene mot DNS over HTTPS var helt klart ment for lovgivernes øyne, ikke publikums.
Hvordan vil DNS over HTTPS fungere?
Med Comcasts merkelige innvendinger til side, la oss ta en titt på hvordan DNS over HTTPS faktisk vil fungere. Når DoH-støtte aktiveres i Chrome, vil Chrome bare bruke DNS over HTTPS hvis systemets nåværende DNS-server støtter det.
Med andre ord, hvis du har Comcast som internettleverandør og Comcast nekter å støtte DoH, vil Chrome fungere som i dag uten å kryptere DNS-oppslagene dine. Hvis du har en annen DNS-server konfigurert – kanskje du har valgt Cloudflare DNS, Google Public DNS eller OpenDNS, eller kanskje Internett-leverandørens DNS-servere støtter DoH – vil Chrome bruke kryptering for å snakke med din nåværende DNS-server, og automatisk «oppgradere» forbindelse. Brukere kan velge å bytte bort fra DNS-leverandører som ikke tilbyr DoH – som Comcasts – men Chrome vil ikke automatisk gjøre dette.
Dette betyr også at eventuelle innholdsfiltreringsløsninger som bruker DNS, ikke blir avbrutt. Hvis du bruker OpenDNS og konfigurerer enkelte nettsteder til å bli blokkert, vil Chrome forlate OpenDNS som standard DNS-server, og ingenting endres.
Firefox fungerer litt annerledes. Mozilla har valgt å gå med Cloudflare som Firefox sin krypterte DNS-leverandør i USA. Selv om du har konfigurert en annen DNS-server, vil Firefox sende DNS-forespørslene dine til Cloudflares 1.1.1.1 DNS-server. Firefox lar deg deaktivere dette eller bruke en tilpasset kryptert DNS-leverandør, men Cloudflare vil være standard.
Microsoft sier at DNS over HTTPS i Windows 10 vil fungere på samme måte som Chrome. Windows 10 vil adlyde din standard DNS-server og bare aktivere DoH hvis din valgte DNS-server støtter det. Imidlertid sier Microsoft at det vil lede «personvernsinnstilte Windows-brukere og -administratorer» til DNS-serverinnstillinger.
Windows 10 kan oppmuntre deg til å bytte DNS-server til en som er sikret med DoH, men Microsoft sier at Windows ikke vil gjøre byttet for deg.