DNS oversætter menneskevenlige domænenavne til computervenlige IP-adresser. Privat DNS krypterer DNS-forespørgsler foretaget af Deres enhed til en DNS-server. Når det bruges sammen med en tredjeparts DNS-tjeneste, der respekterer Deres privatliv, kan privat DNS forbedre Deres online privatliv. Privat DNS er dog ikke nødvendigt, når De bruger en VPN, og kan faktisk gøre Deres VPN-forbindelse mindre sikker.

I denne artikel ser vi på, hvad privat DNS er, hvordan det kan hjælpe med at beskytte Deres privatliv, og hvordan De aktiverer det på Deres enhed, men også hvorfor De ikke bør bruge det sammen med en VPN.

Hvad er DNS?

Domain Name System (DNS) knytter menneskevenlige domænenavne til deres tilsvarende computervenlige numeriske IP-adresser.

For eksempel bruger Proton VPN-webstedet domænenavnet protonvpn.com, hvilket svarer til IP-adressen 185.159.159.140. Når De indtaster www.protonvpn.com i Deres browsers URL-linje, skal domænenavnet konverteres til dets tilsvarende IP-adresse, for at computere kan forstå det.

Denne konverteringsproces udføres normalt af specielle DNS-servere, der drives af Deres internetudbyder (ISP).

Få mere at vide om DNS

Hvorfor DNS udgør et problem for privatlivet og i forhold til censur

Den, der besvarer Deres DNS-forespørgsler, kan se, hvilke websteder De besøger (men ikke hvad De foretager Dem på dem). Medmindre De bruger en VPN eller aktivt ændrer Deres DNS-indstillinger, vil det være Deres ISP, der besvarer Deres DNS-forespørgsler.

Det er vigtigt at forstå, at Deres ISP som standard kan overvåge, hvad De gør online, selv når den ikke besvarer Deres DNS-forespørgsler. Dette er dog den nemmeste (og derfor billigste) måde for dem at logge Deres browserhistorik på.

De fleste ISP’er, der logger deres kunders browserhistorik (hvilket er de fleste ISP’er), vælger derfor den mindste modstands vej og nøjes med at logge kundernes DNS-poster. I de fleste jurisdiktioner giver dette minimale niveau af logning ISP’er mulighed for at opfylde de juridiske forpligtelser, de måtte have til at logge brugernes browserhistorik.

På samme måde beder regeringer, når de ønsker at censurere internetindhold af sociale, religiøse, politiske eller ”moralske” årsager, de indenlandske ISP’er om at håndhæve disse blokeringer. Og den nemmeste måde at gøre dette på er at blokere DNS-forespørgsler til specifikke websteder og apps. Brug af en international tredjeparts DNS-resolver kan omgå disse enkle (men effektive) censurblokeringer.

DNS can be used to defeat censorship

Graffiti i Istanbul, der opfordrer folk til at bruge Google DNS-servere til at omgå et regeringens censurindgreb i 2014(nyt vindue)

Hvad er privat DNS-tilstand?

I modsætning til de fleste forbindelser til websteder, som er beskyttet af HTTPS(nyt vindue), sendes DNS-forespørgsler normalt i ukrypteret klartekst. Det betyder, at alle med adgang til DNS-forespørgslerne (f.eks. Deres ISP) kan læse dem, selvom de besvares af en tredjepart.

Hvis en ISP skulle gøre en ekstra indsats for at udspionere sine kunder (hvilket den kan blive pålagt af en mere restriktiv regering), kunne den simpelthen overvåge og logge DNS-forespørgslerne til tredjeparts-resolvere. Ved hjælp af mere avanceret teknologi ville den også kunne implementere censur ved at filtrere disse forespørgsler.

Privat DNS forhindrer dette ved at kryptere Deres DNS-forespørgsler, når de rejser mellem Deres enhed og en tredjeparts DNS-server. Dette sikrer, at Deres ISP (eller andre, der overvåger Deres internetforbindelse) ikke kan se Deres DNS-forespørgsler.

Privat DNS repræsenterer derfor en væsentlig forbedring af DNS-privatlivet og -sikkerheden i forhold til traditionelle ukrypterede DNS-forespørgsler. Det har dog også flere begrænsninger, som vi vil diskutere senere.

Private DNS-protokoller

Privat DNS opnås ved hjælp af en af tre sikkerhedsprotokoller: DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) og DNSCrypt.

DNS-over-TLS

DoT krypterer DNS-forespørgsler ved hjælp af Transport Layer Security(nyt vindue)-protokollen (TLS), hvilket sikrer, at dataene ikke let kan opsnappes eller ændres. DoT kører over port 853, hvilket gør det nemmere for netværk at blokere eller overvåge DoT-trafik specifikt, da den ikke falder i ét med andre typer trafik.

Dette gør DoT til det foretrukne valg på netværk, der ønsker at have en vis kontrol over den trafik, der passerer igennem dem. DoT er også mindre kompliceret at implementere på serverniveau end DoH.

DNS-over-HTTPS

DoH bruger HTTPS, den protokol, der sikrer alle følsomme oplysninger på internettet, til at kryptere DNS-forespørgsler. Ligesom DoT bruger DoH TLS til at kryptere DNS-forespørgslerne, men DoH-forbindelser kører over port 443, så de blandes med almindelig HTTPS-webtrafik. Dette gør det vanskeligt for observatører at skelne DNS-trafik fra andre typer webtrafik, hvilket gør DoH mere privat og modstandsdygtigt over for censur end DoT.

Få mere at vide om HTTPS(nyt vindue)

DNSCrypt

Den ældste private DNS-protokol, DNSCrypt, minder meget om DoH, men med nogle yderligere funktioner, der forbedrer DoH. DNSCrypt understøttes dog ikke bredt af operativsystemer og browsere og kræver derfor, at man kører tredjepartssoftware(nyt vindue).

Så hvad er bedst? Alle disse private DNS-protokoller tilbyder enorme forbedringer af privatlivet og sikkerheden i forhold til slet ikke at bruge privat DNS, og de har en ubetydelig indflydelse på Deres browserhastighed. Der er legitime grunde til, at nogle netværk foretrækker DoT, men for de fleste slutbrugere gør det større privatliv, som DoH tilbyder, det til det bedste valg af de to.

På mange måder, og på trods af at det er den ældste mulighed, er DNSCrypt stadig den bedste løsning, når det gælder privatliv. Manglende understøttelse på tværs af DNS-økosystemet begrænser dog dets udbredelse. I resten af denne artikel vil vi koncentrere os om DoT og DoH, da disse protokoller ikke kræver, at De downloader yderligere software.

Privat DNS er ikke lige så privat som en VPN

Privat DNS giver nogle fordele for privatlivet, men disse fungerer kun, når ISP’er (ofte på foranledning af regeringer) vælger de lavthængende frugter og ikke gør en reel indsats for at censurere indhold eller udspionere Dem. Selvom det kræver en ekstra indsats, kan en ISP spore Deres forbindelser for at fastlægge Deres browserhistorik og kan blokere trafik direkte til specifikke IP-adresser.

For at forhindre en ISP i at kunne se, hvad De gør online (and dermed potentielt censurere det), bør De bruge en VPN. Dette krypterer forbindelsen mellem Deres enhed og VPN-serveren, så Deres ISP ikke kan se indholdet af Deres data. DNS-forespørgsler dirigeres gennem den krypterede forbindelse (også kendt som en VPN-tunnel) for at blive besvaret af Deres VPN-udbyder, så Deres ISP ikke kan vide, hvilke websteder eller andre ressourcer De besøger på internettet.

How a VPN works on your iPhone

På samme måde kan de websteder, De besøger, ikke se Deres rigtige IP-adresse. Det eneste, de kan se, er VPN-serverens IP-adresse.

Din internetudbyder og websteder, du besøger, ser IP-adressen på VPN-serveren

En VPN giver derfor langt mere privatliv end en privat DNS-tjeneste.

Brug ikke privat DNS og en VPN sammen

Alle gode VPN-udbydere driver deres egne DNS-servere. Når De bruger en VPN, dirigeres DNS-anmodninger gennem VPN-tunnellen og besvares af VPN-tjenesten. Da VPN-tunnellen er krypteret, krypteres DNS-anmodningerne uden behov for en privat DNS-protokol.

Desuden gør konfigurationen af en tredjeparts DNS-tjeneste på Deres system det mere sandsynligt, at DNS-anmodninger dirigeres uden om VPN-tunnellen. Privat DNS øger risikoen for, at dette sker, fordi kryptering af DNS-forespørgslerne gør det sværere for de DNS-beskyttelsesforanstaltninger, der bruges af VPN-softwaren, at sikre, at de dirigeres korrekt gennem VPN-tunnellen.

Så ikke nok med, at privat DNS ikke er nødvendigt, når De bruger en VPN, kan det også forårsage en DNS-lækage.

Sådan bruger De privat DNS

For at bruge privat DNS skal De først vælge en DNS-resolver, der understøtter enten DoT eller DoH (det er også muligt selv at hoste en DNS-server, men det kræver seriøse tekniske evner). Populære DNS-tjenester, der understøtter privat DNS, og som i det mindste giver udtryk for at respektere privatlivet, omfatter:

  • Cloudflare 1.1.1.1 — Denne store kommercielle DNS-tjeneste indsamler kun ”anonymiserede DNS-forespørgselsdata sendt til Cloudflare-resolveren”. Cloudflare understøtter DoT og DoH. 
  • Quad9 — En non-profit DNS-tjeneste, som ikke indsamler personligt identificerbare oplysninger om sine brugere. Vigtigst af alt bliver brugernes IP-adresser ikke lagret, når der foretages en forespørgsel. Quad9 understøtter DoH.
  • OpenNIC — OpenNIC, der omtaler sig selv som en decentraliseret, åben, ucensureret og demokratisk DNS-udbyder, er en samling af frivillig-drevne DNS-servere placeret rundt om i verden. I modsætning til de fleste DNS-tjenester, hvor en enkelt DNS-adresse (såsom 1.1.1.1) vil forbinde Dem til netværket af DNS-servere, vælger De med OpenNIC en individuel DNS-server at forbinde til. Logningspolitikker, og hvorvidt privat DNS understøttes (ofte i form af den ældre DNSCrypt-protokol), afhænger helt af, hvem der driver den DNS-server, De vælger. 

Når De har valgt en DNS-udbyder, har De to muligheder. De kan konfigurere Deres operativsystem (OS) til at dirigere alle DNS-forespørgsler til Deres valgte udbyder, eller De kan nøjes med at konfigurere Deres browser til at bruge en privat DNS-tjeneste.

Alle moderne operativsystemer understøtter DoT eller DoH (eller begge dele), hvilket også gælder for alle moderne browsere. Som standard forbinder Firefox automatisk til Cloudflare 1.1.1.1-servere ved hjælp af DoH.

Privat DNS-tilstand er aktiveret som standard i Firefox-browseren

Afsluttende tanker om privat DNS

Privat DNS er meget mere privat, sikkert og modstandsdygtigt over for censur end almindelig ukrypteret DNS, og i det mindste går nogle DNS-udbydere meget mere op i Deres privatliv, end Deres ISP gør. Så hvis De ikke bruger en VPN, bør De konfigurere Deres system eller browser til at bruge en pålidelig DNS-tjeneste, der understøtter privat DNS.

En VPN giver dog meget mere privatliv og er langt mere effektiv til at bekæmpe censur end at bruge privat DNS. De skal blot være opmærksom på, at De ikke bør (og ikke behøver at) bruge privat DNS, når De bruger en VPN.