DNS over HTTPS: Bedre personvern, men Comcast protesterer – hva bør du vite?

DNS over HTTPS: En ny æra for personvern på nettet?

Teknologigiganter som Microsoft, Google og Mozilla satser sterkt på DNS over HTTPS (DoH). Denne teknologien har som mål å kryptere DNS-oppslag, noe som kan føre til betydelig forbedring av personvern og sikkerhet på internett. Likevel er dette et tema som har skapt debatt og kontrovers, der blant annet Comcast har drevet lobbyvirksomhet mot implementeringen. Her er en gjennomgang av hva du bør vite om DoH.

Hva innebærer DNS over HTTPS?

Det har vært et økende press for å kryptere all datatrafikk som en standard på nettet. De fleste nettsider benytter seg nå av HTTPS-kryptering. Moderne nettlesere, som Chrome, markerer HTTP-baserte nettsider som «ikke sikre». Den nye versjonen av HTTP-protokollen, HTTP/3, har integrert kryptering som en del av designet.

Denne krypteringen sørger for at uvedkommende ikke kan endre innholdet på en nettside eller overvåke aktiviteten din på nettet. Når du for eksempel besøker wikipedia.org, vil nettverksoperatøren – enten det er en offentlig Wi-Fi-sone eller internettleverandøren din – kun kunne se at du er koblet til wikipedia.org. De har ikke innsyn i hvilke artikler du leser, og de kan ikke forfalske innholdet under overføringen.

I dette skiftet mot kryptering har DNS blitt hengende etter. DNS er et system som gjør det mulig å koble seg til nettsider ved å bruke domenenavn i stedet for numeriske IP-adresser. Når du skriver inn et domenenavn som google.com, kontakter systemet en konfigurert DNS-server for å hente IP-adressen til google.com, og kobler deg deretter til denne adressen.

Tidligere har disse DNS-oppslagene ikke vært krypterte. Når du forsøker å koble deg til en nettside, sendes en forespørsel om IP-adressen til det spesifikke domenet. Alle som overvåker nettverkstrafikken – det kan være internettleverandøren din, men også en offentlig Wi-Fi-sone – har mulighet til å registrere hvilke domener du besøker.

DNS over HTTPS tetter dette sikkerhetshullet. Ved bruk av DoH oppretter systemet en kryptert tilkobling til DNS-serveren og overfører forespørselen og svaret over denne sikre forbindelsen. Dette gjør det umulig for uvedkommende å overvåke hvilke domenenavn du søker opp, eller å manipulere svarene.

I dag benytter de fleste DNS-servere som tilbys av deres internettleverandør. Det finnes likevel mange alternative DNS-servere, som Cloudflares 1.1.1.1, Googles offentlige DNS og OpenDNS. Disse tredjepartsleverandørene var blant de første som tilbød serverstøtte for DNS over HTTPS. For å bruke DoH kreves det at både DNS-serveren og klienten (f.eks. en nettleser eller operativsystem) støtter teknologien.

Hvem støtter DoH?

Google og Mozilla tester allerede DNS over HTTPS i henholdsvis Chrome og Firefox. I tillegg kunngjorde Microsoft den 17. november 2019 at de vil implementere DoH i Windows-nettverksstacken. Dette vil sikre at alle applikasjoner i Windows kan benytte seg av DoH, uten at det kreves særskilt tilpasning.

Google har uttalt at de vil aktivere DoH som standard for 1 % av brukerne fra og med Chrome 79, som etter planen skal lanseres 10. desember 2019. Når denne versjonen er tilgjengelig, vil brukerne også kunne gå til chrome://flags/#dns-over-https for å slå funksjonen på.

Mozilla har sagt at de planlegger å aktivere DNS over HTTPS for alle i løpet av 2019. I den nåværende stabile versjonen av Firefox kan man aktivere dette under Innstillinger > Nettverk > Innstillinger, og deretter huke av for «Aktiver DNS over HTTPS».

Apple har foreløpig ikke offentliggjort sine planer for DNS over HTTPS, men det forventes at de vil følge etter og implementere støtte i iOS og macOS i tråd med resten av bransjen.

Selv om teknologien ikke er standard for alle ennå, vil DNS over HTTPS sannsynligvis gjøre internettbruken mer privat og sikker når den er fullt implementert.

Hvorfor motarbeider Comcast DoH?

Til tross for de åpenbare fordelene, er ikke DNS over HTTPS helt uten kontrovers. Comcast har tilsynelatende drevet lobbyvirksomhet i Kongressen for å hindre Google i å rulle ut DoH.

I en presentasjon som ble forelagt lovgivere og som Motherboard har fått tilgang til, hevder Comcast at Google følger en «ensidig» strategi («sammen med Mozilla») for å implementere DoH, noe som vil «sentralisere en majoritet av verdensomspennende DNS-data hos Google» og «markere et fundamentalt skifte i den desentraliserte strukturen til internettets arkitektur.»

Mye av denne kritikken er, mildt sagt, misvisende. Mozillas Marshell Erwin har uttalt til Motherboard at «slidene som helhet er svært misvisende og unøyaktige.» I et blogginnlegg forklarer Kenji Beaheux, produktsjef for Chrome, at Google Chrome ikke vil tvinge noen til å bytte DNS-leverandør. Chrome vil følge systemets eksisterende DNS-leverandør, og dersom den ikke støtter DNS over HTTPS, vil ikke Chrome bruke DoH.

I etterkant har også Microsoft kunngjort planer om å støtte DoH på Windows-operativsystemnivå. Med Microsoft, Google og Mozilla om bord, er det vanskelig å se på dette som en «ensidig» plan fra Google.

Noen har spekulert i om Comcasts motstand bunner i at de ikke lenger vil kunne samle inn DNS-oppslagsdata. Comcast har imidlertid lovt at de ikke overvåker DNS-oppslagene dine. Selskapet hevder at de støtter kryptert DNS, men foretrekker en «samarbeidende, bransjedekkende løsning» fremfor en «ensidig handling.» Comcasts budskap virker forvirrende, og det kan virke som argumentene deres mot DNS over HTTPS var myntet på lovgiverne, snarere enn allmennheten.

Hvordan vil DNS over HTTPS fungere i praksis?

La oss se nærmere på hvordan DNS over HTTPS faktisk vil fungere, uavhengig av Comcasts innvendinger. Når DoH-støtte aktiveres i Chrome, vil nettleseren kun bruke DNS over HTTPS dersom systemets eksisterende DNS-server støtter det.

Med andre ord, dersom du har Comcast som internettleverandør, og de velger å ikke støtte DoH, vil Chrome fungere som før, uten å kryptere DNS-oppslagene dine. Dersom du har konfigurert en annen DNS-server – det kan være Cloudflare DNS, Google Public DNS eller OpenDNS, eller kanskje internettleverandørens DNS-servere støtter DoH – vil Chrome benytte kryptering for kommunikasjonen med din eksisterende DNS-server og automatisk «oppgradere» tilkoblingen. Brukere kan velge å bytte til DNS-leverandører som støtter DoH, men Chrome vil ikke gjøre dette automatisk.

Dette betyr også at eventuelle innholdsfiltreringsløsninger som bruker DNS, ikke vil bli avbrutt. Dersom du benytter OpenDNS og har konfigurert at visse nettsider skal blokkeres, vil Chrome fortsette å benytte OpenDNS som standard DNS-server, og ingenting vil endres.

Firefox fungerer på en litt annen måte. Mozilla har valgt å samarbeide med Cloudflare som sin standard krypterte DNS-leverandør i USA. Selv om du har konfigurert en annen DNS-server, vil Firefox sende DNS-forespørslene dine til Cloudflares 1.1.1.1 DNS-server. Det er mulig å deaktivere dette eller bruke en tilpasset kryptert DNS-leverandør, men Cloudflare vil være standard.

Microsoft har sagt at DNS over HTTPS i Windows 10 vil fungere på samme måte som i Chrome. Windows 10 vil følge din standard DNS-server, og kun aktivere DoH dersom den valgte DNS-serveren støtter teknologien. Microsoft vil imidlertid oppfordre «personvernbevisste Windows-brukere og -administratorer» til å se over sine DNS-serverinnstillinger.

Windows 10 kan anbefale deg å bytte til en DNS-server som er sikret med DoH, men Microsoft understreker at systemet ikke vil gjøre dette valget for deg.