DNS kääntää selkokieliset verkkotunnukset tietokoneille sopiviksi IP-osoitteiksi. Yksityinen DNS salaa laitteenne tekemät DNS-kyselyt DNS-palvelimelle. Kun sitä käytetään sellaisen ulkopuolisen tahon DNS-palvelun kanssa, joka kunnioittaa yksityisyyttänne, yksityinen DNS voi parantaa yksityisyyttänne verkossa. Yksityistä DNS-palvelua ei kuitenkaan tarvita käytettäessä VPN-yhteyttä, ja se voi itse asiassa heikentää VPN-yhteytenne tietoturvaa.

Tässä artikkelissa tarkastelemme, mitä yksityinen DNS on, miten se voi auttaa suojaamaan yksityisyyttänne ja miten se otetaan käyttöön laitteellanne, mutta myös sitä, miksi sitä ei pitäisi käyttää VPN-yhteyden kanssa.

Mikä on DNS?

Nimipalvelujärjestelmä (DNS) määrittää selkokieliset verkkotunnukset niitä vastaaviksi, tietokoneille sopiviksi numeerisiksi IP-osoitteiksi.

Esimerkiksi Proton VPN -verkkosivusto käyttää verkkotunnusta protonvpn.com, joka vastaa IP-osoitetta 185.159.159.140. Kun kirjoitatte osoitteen www.protonvpn.com selaimenne URL-palkkiin, verkkotunnus on muunnettava sitä vastaavaksi IP-osoitteeksi, jotta tietokoneet voivat ymmärtää sen.

Tämän muunnosprosessin suorittavat yleensä erityiset DNS-palvelimet, joita ylläpitää Internet-palveluntarjoajanne (ISP).

Lue lisää DNS-järjestelmästä

Miksi DNS aiheuttaa yksityisyys- ja sensuuriongelman

Se taho, joka selvittää DNS-kyselynne, voi nähdä, millä verkkosivustoilla vierailette (mutta ei sitä, mitä teette niillä). Ellette käytä VPN-yhteyttä tai muuta aktiivisesti DNS-asetuksianne, Internet-palveluntarjoajanne selvittää DNS-kyselynne.

On tärkeää ymmärtää, että oletusarvoisesti Internet-palveluntarjoajanne voi valvoa toimintaanne verkossa, vaikka se ei selvittäisikään DNS-kyselyitänne. Tämä on kuitenkin sille helpoin (ja siten halvin) tapa kerätä lokitietoja selaushistoriastanne.

Useimmat Internet-palveluntarjoajat, jotka tallentavat asiakkaidensa selaushistoriaa (mikä koskee useimpia niistä), valitsevat siksi helpoimman tien ja tyytyvät tallentamaan lokitietoja asiakkaiden DNS-tietueista. Useimmilla lainkäyttöalueilla tämä vähimmäistason lokien tallennus antaa Internet-palveluntarjoajille mahdollisuuden täyttää lakisääteiset velvoitteensa tallentaa käyttäjien selaushistoriaa.

Vastaavasti kun hallitukset haluavat sensuroida internet-sisältöä sosiaalisilla, uskonnollisilla, poliittisilla tai ”moraalisilla” perusteilla, ne pyytävät maansa Internet-palveluntarjoajia toimeenpanemaan nämä estot. Helpein tapa tehdä tämä on estää DNS-kyselyt tiettyihin verkkosivustoihin ja sovelluksiin. Kansainvälisen ulkopuolisen tahon DNS-selvittäjän käyttäminen voi ohittaa nämä yksinkertaiset (mutta tehokkaat) sensuurit

DNS can be used to defeat censorship

Graffiti Istanbulissa, joka rohkaisee ihmisiä käyttämään Googlen DNS-palvelimia vuoden 2014 hallituksen sensuuritoimenpiteiden(uusi ikkuna) ohittamiseksi

Mikä on yksityinen DNS-tila?

Toisin kuin useimmat yhteydet verkkosivustoille, jotka on suojattu HTTPS-yhteydellä(uusi ikkuna), DNS-kyselyt lähetetään yleensä salaamattomana pelkkänä tekstinä. Tämä tarkoittaa, että kuka tahansa, jolla on pääsy DNS-kyselyihin (kuten Internet-palveluntarjoajanne), voi lukea ne, vaikka ne selvittäisi ulkopuolinen taho.

Jos Internet-palveluntarjoaja näkisi ylimääräistä vaivaa vakoillakseen asiakkaitaan (kuten rajoittavampi hallitus saattaa siltä vaatia), se voisi yksinkertaisesti valvoa ja tallentaa lokiin ulkopuolisten tahojen selvittäjille tehdyt DNS-kyselyt. Kehittyneempää tekniikkaa käyttämällä se voisi myös toteuttaa sensuuria suodattamalla näitä kyselyitä.

Yksityinen DNS estää tämän salaamalla DNS-kyselynne niiden siirtyessä laitteenne ja ulkopuolisen tahon DNS-palvelimen välillä. Tämä varmistaa, ettei Internet-palveluntarjoajanne (tai kukaan muu internetyhteyttänne valvova taho) näe DNS-kyselyitänne.

Yksityinen DNS onkin merkittävä parannus DNS-tietosuojaan ja -tietoturvaan verrattuna perinteisiin salaamattomiin DNS-kyselyihin. Sillä on kuitenkin myös useita rajoituksia, joista keskustelemme myöhemmin.

Yksityiset DNS-protokollat

Yksityinen DNS toteutetaan käyttämällä yhtä kolmesta suojausprotokollasta: DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) ja DNSCrypt.

DNS-over-TLS

DoT salaa DNS-kyselyt käyttämällä Transport Layer Security(uusi ikkuna) (TLS) -protokollaa varmistaen, ettei tietoja voida helposti kaapata tai muuttaa. DoT toimii portissa 853, mikä helpottaa verkkojen kykyä estää tai valvoa erityisesti DoT-liikennettä, koska se ei sekoitu muunlaiseen liikenteeseen.

Tämä tekee DoT-protokollasta ensisijaisen valinnan verkoissa, jotka haluavat hallita jonkin verran niiden kautta kulkevaa liikennettä. DoT on myös vähemmän monimutkainen toteuttaa palvelintasolla kuin DoH.

DNS-over-HTTPS

DoH käyttää HTTPS-protokollaa, joka suojaa kaiken arkaluonteisen tiedon internetissä, DNS-kyselyjen salaamiseen. DoT-protokollan tavoin DoH käyttää TLS-protokollaa DNS-kyselyjen salaamiseen, mutta DoH-yhteydet toimivat portissa 443, jotta ne sekoittuvat tavalliseen HTTPS-verkkoliikenteeseen. Tämä vaikeuttaa tarkkailijoiden mahdollisuuksia erottaa DNS-liikennettä muusta verkkoliikenteestä, mikä tekee DoH-protokollasta yksityisemmän ja sensuurinkestävämmän kuin DoT.

Oppikaa lisää HTTPS:stä(uusi ikkuna)

DNSCrypt

Vanhin yksityinen DNS-protokolla, DNSCrypt, on hyvin samanlainen kuin DoH, mutta siinä on joitakin lisäominaisuuksia, jotka parantavat sitä DoH-protokollaan verrattuna. Käyttöjärjestelmät ja selaimet eivät kuitenkaan tue DNSCryptiä laajasti, ja siksi se vaatii kolmannen osapuolen ohjelmiston(uusi ikkuna) suorittamista.

Mikä niistä on siis paras? Kaikki nämä yksityiset DNS-protokollat tarjoavat valtavia yksityisyys- ja tietoturvaparannuksia verrattuna siihen, ettei yksityistä DNS-palvelua käytetä lainkaan, ja niiden vaikutus selausnopeuteen on vähäinen. Joillakin verkoilla on perusteltuja syitä suosia DoT-protokollaa, mutta useimmille loppukäyttäjille DoH-protokollan tarjoama parempi yksityisyys tekee siitä paremman vaihtoehdon näistä kahdesta.

Monella tapaa ja huolimatta siitä, että se on vanhin vaihtoehto, DNSCrypt on edelleen paras vaihtoehto yksityisyyden kannalta. Tuen puute DNS-ekosysteemissä kuitenkin rajoittaa sen houkuttelevuutta. Tämän artikkelin loppuosassa keskitymme DoT- ja DoH-protokolliin, koska nämä protokollat eivät vaadi lisäohjelmistojen lataamista.

Yksityinen DNS ei ole yhtä yksityinen kuin VPN

Yksityinen DNS tarjoaa joitakin yksityisyysetuja, mutta ne toimivat vain silloin, kun Internet-palveluntarjoajat (usein hallitusten käskystä) tarttuvat helpoimpiin kohteisiin eivätkä näe paljoakaan vaivaa sisällön sensuroimiseksi tai vakoilemisekseen. Vaikka se vaatii lisäponnistuksia, Internet-palveluntarjoaja voi jäljittää yhteytenne selaushistorianne selvittämiseksi ja estää suoraan liikenteen tiettyihin IP-osoitteisiin.

Estääksenne Internet-palveluntarjoajaa näkemästä, mitä teette verkossa (ja siten mahdollisesti sensuroimasta sitä), Teidän tulisi käyttää VPN-yhteyttä. Se salaa laitteenne ja VPN-palvelimen välisen yhteyden, jotta Internet-palveluntarjoajanne ei näe tietojenne sisältöä. DNS-kyselyt ohjataan salatun yhteyden (jota kutsutaan myös nimellä VPN-tunneli) kautta VPN-palveluntarjoajanne selvitettäväksi, joten Internet-palveluntarjoajanne ei voi tietää, millä verkkosivustoilla tai muissa resursseissa vierailette internetissä.

How a VPN works on your iPhone

Samoin vierailemanne verkkosivustot eivät voi nähdä todellista IP-osoitettanne. Ne näkevät vain VPN-palvelimen IP-osoitteen.

ISP:nne ja verkkosivustot, joilla vierailette, näkevät VPN-palvelimen IP-osoitteen

VPN tarjoaa siten paljon paremman yksityisyyden suojan kuin yksityinen DNS-palvelu.

Älkää käyttäkö yksityistä DNS-palvelua ja VPN-yhteyttä yhdessä

Kaikki hyvät VPN-palveluntarjoajat ylläpitävät omia DNS-palvelimiaan. Kun käytetään VPN-yhteyttä, DNS-pyynnöt ohjataan VPN-tunnelin kautta ja VPN-palvelu selvittää ne. Koska VPN-tunneli on salattu, DNS-pyynnöt salataan ilman tarvetta yksityiselle DNS-protokollalle.

Lisäksi minkä tahansa kolmannen osapuolen DNS-palvelun määrittäminen järjestelmäänne lisää todennäköisyyttä, että DNS-pyynnöt ohjataan VPN-tunnelin ulkopuolelle. Yksityinen DNS lisää tämän tapahtumisen todennäköisyyttä, koska DNS-kyselyiden salaaminen vaikeuttaa VPN-ohjelmiston käyttämien DNS-suojaustoimenpiteiden varmistamista, että kyselyt ohjataan asianmukaisesti VPN-tunnelin kautta.

Joten sen lisäksi, että yksityistä DNS-palvelua ei tarvita VPN-yhteyttä käytettäessä, se voi aiheuttaa DNS-vuodon.

Kuinka käyttää yksityistä DNS-palvelua

Käyttääksenne yksityistä DNS-palvelua Teidän on ensin valittava DNS-selvittäjä, joka tukee joko DoT- tai DoH-protokollaa (on myös mahdollista isännöidä DNS-palvelinta itse, mutta se vaatii vakavaa teknistä osaamista). Suosittuja yksityistä DNS-palvelua tukevia DNS-palveluita, jotka ainakin näennäisesti kunnioittavat yksityisyyttä, ovat muun muassa:

  • Cloudflare 1.1.1.1 — Tämä suuri kaupallinen DNS-palvelu kerää vain ”anonymisoituja DNS-kyselytietoja, jotka on lähetetty Cloudflare Resolveriin”. Cloudflare tukee DoT- ja DoH-protokollia. 
  • Quad9 — voittoa tavoittelematon DNS-palvelu, joka ei kerää käyttäjistään henkilötietoja. Mikä tärkeintä, käyttäjien IP-osoitteita ei tallenneta kyselyitä tehtäessä. Quad9 tukee DoH-protokollaa.
  • OpenNIC — Itseään hajautettuna, avoimena, sensuroimattomana ja demokraattisena DNS-tarjoajana pitävä OpenNIC on vapaaehtoisten ylläpitämien DNS-palvelimien kokoelma eri puolilla maailmaa. Toisin kuin useimmissa DNS-palveluissa, joissa yksittäinen DNS-osoite (kuten 1.1.1.1) yhdistää teidät DNS-palvelinverkkoon, OpenNIC-palvelussa valitsette yksittäisen DNS-palvelimen, johon yhdistätte. Lokikäytännöt ja se, onko yksityinen DNS tuettu (usein vanhemman DNSCrypt-protokollan muodossa), riippuvat täysin valitsemanne DNS-palvelimen ylläpitäjästä. 

Kun olette valinneet DNS-palveluntarjoajan, teillä on kaksi vaihtoehtoa. Voitte määrittää käyttöjärjestelmänne (OS) reitittämään kaikki DNS-kyselyt valitsemallenne palveluntarjoajalle, tai voitte määrittää vain selaimenne käyttämään yksityistä DNS-palvelua.

Kaikki nykyaikaiset käyttöjärjestelmät tukevat DoT- tai DoH-protokollaa (tai molempia), kuten myös kaikki nykyaikaiset selaimet. Oletusarvoisesti Firefox muodostaa automaattisesti yhteyden Cloudflaren 1.1.1.1-palvelimiin DoH-protokollaa käyttäen.

Yksityinen DNS-tila on oletusarvoisesti käytössä Firefox-selaimessa

Loppusanat yksityisestä DNS-palvelusta

Yksityinen DNS on paljon yksityisempi, turvallisempi ja suojatumpi sensuurilta kuin tavallinen salaamaton DNS, ja ainakin jotkut DNS-palveluntarjoajat välittävät paljon enemmän yksityisyydestänne kuin oma internet-palveluntarjoajanne. Jos siis ette käytä VPN-yhteyttä, teidän tulisi määrittää järjestelmänne tai selaimenne käyttämään luotettavaa DNS-palvelua, joka tukee yksityistä DNS-protokollaa.

VPN tarjoaa kuitenkin paljon enemmän yksityisyyttä ja on huomattavasti tehokkaampi sensuurin torjumisessa kuin yksityisen DNS:n käyttö. Huomatkaa kuitenkin, että teidän ei pitäisi (eikä teidän tarvitse) käyttää yksityistä DNS-palvelua käyttäessänne VPN-yhteyttä.