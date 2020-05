DNS (Domain Name System) definieras i RFC 882 som först publicerades 1983. Protokollet används som bekant för att matcha namn mot ip-adresser, till exempel översätta www.idg.se till 143.204.55.60. De allra flesta protokoll som används på internet erbjuds sedan länge i krypterat format men märkligt nog har DNS förblivit ett protokoll som skickar data i klartext.

Det leder till att samtliga inblandade parter som har tillgång till din trafik på internet, till exempel din internetleverantör och andra som kan vara inblandade på vägen fram till din DNS-server, enkelt kan se vart du surfar. Vad värre är så kan alla dessa parter enkelt förändra informationen som skickas till dig så att du kan luras att besöka en falsk sajt som utgör sig för att vara den du egentligen är på väg till. Sådan sårbarhet är något du troligen vill råda bot på och nu finns en lösning i form av krypterad DNS-trafik.

Använder en specifik port

Det finns två olika standarder för att kryptera DNS-trafik. Den ena kallas för DNS over TLS (DoT) och använder sig av port 853. DoT krypterar trafiken på ett säkert sätt, men eftersom den använder en specifik port kan denna trafik fortfarande spärras och övervakas separat även om ingen kan se vilka sajter du försöker namnupplösa.

Den andra standarden kallas för DNS over HTTPS (DoH). DoH krypterar trafiken lika säkert som DoT men eftersom frågorna ställs via HTTPS så används port 443, det vill säga samma port som all annan krypterad http-trafik använder. Med tanke på den enorma mängd trafik som används med HTTPS så är det i praktiken omöjligt att blockera dessa DNS-frågor och de kommer dessutom att drunkna i den stora mängden trafik och bli närmast osynliga eftersom dessa frågor inte går att skilja från vanlig webbtrafik. Ur ett integritetsperspektiv är alltså DoH tämligen oslagbart avseende DNS-protokollet.

Eftersom det inte har funnits stöd för DoH på operativsystemsnivå så har det under en längre tid varit möjligt att aktivera DoH i olika webbläsare, som Chrome, Edge och Firefox. Men tiden är nu kommen för operativsystemet Windows 10 i sig att få stöd för protokollet vilket gör att alla applikationer kan dra nytta av den ökade säkerheten.

En nyligen lanserad build (19628) av Windows 10 erbjuder möjlighet att aktivera DoH och det är sannolikt att funktionen lanseras med nästa version av operativsystemet. Detta innebär att Windows i första hand kommer att försöka använda DoH och om detta inte lyckas, falla tillbaka till att använda vanlig okrypterad dns. Det är väldigt praktiskt och bra att Windows får detta stöd så att man slipper få olika sorters namnupplösning beroende på vilken applikation man använder. Om du är en Windows Insider och har tillgång till version 19628 så kan du ange värdet EnableAutoDoh under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters och sätta det till 2 så kommer Windows automatiskt att använda DoH om du pekar på en DNS-server som klarar av detta protokoll.

DoH medför alltså betydande landvinningar avseende integritet men kan förstås också ställa till en del problem. För nätverksadministratörer, internetleverantörer och olika former av regeringar världen över kan ha ett intresse i att övervaka, logga och spärra internettrafik för medborgare så kan DoH bli ett bekymmer. Eftersom trafiken är krypterad kan brandväggar och olika former av mjukvara för övervakning inte längre lika enkelt ha koll på vart du surfar. DNS-baserade webbfilter blir alltså tämligen värdelösa i och med DoH.

Viktigt att lita på leverantören

Det är dock väldigt viktigt att förstå att DoH inte på något sätt gör dig osynlig på internet. Även om det inte längre går att avlyssna dina DNS-frågor eller förändra dessa på vägen så är det väldigt viktigt att du litar på den DNS-leverantör som du använder eftersom den givetvis fortfarande ser dina förfrågningar. Men viktigast av allt: Den vanliga HTTPS-trafiken som flyter till dig från en webbserver påverkas heller inte alls av DoH utan kan övervakas och loggas precis som vanligt. Kort sagt, även om du på ett hemligt sätt tar reda på adressen till ett hus finns det inget som hindrar någon att se dig gå dit och tillbaka.

Det är alltså fortfarande fullt möjligt för en administratör eller regim att spärra trafik till och från en webbplats och att logga att du har varit där. DoH krypterar enbart namnupplösningen och ingenting annat. Detta medför att den största vinsten med DoH kanske inte är anonymitet utan att det blir mycket svårare att lura dig till en elakartad webbplats genom att förfalska DNS-svar. Beroende på hur filtren är byggda i olika brandväggar kan det alltså hända att befintliga policys för att styra webbtrafik fortsätter fungera precis som vanligt, något som kan vara klokt att verifiera med din leverantör av brandvägg.

I och med att stödet för DoH byggs in i Windows 10 kommer efterfrågan på servrar som kan leverera svar via detta protokoll troligen att öka. I dagsläget är det väldigt sparsamt med servrar som klarar av det, några exempel är 1.1.1.1 från CloudFlare, 8.8.8.8 från Google och 9.9.9.9 från Quad9.

Rätt använt kan DoH blir en viktig kugge i en genomtänkt säkerhetsplan. Vill du uppnå en ännu högre grad av anonymitet får du se dig om efter andra lösningar, såsom exempelvis VPN-produkter som erbjuder anonymisering eller genom att använda TOR.

