DNS översätter användarvänliga domännamn till datorvänliga IP-adresser. Privat DNS krypterar DNS-förfrågningar som görs av din enhet till en DNS-server. När det används med en DNS-tjänst från tredje part som respekterar din integritet kan privat DNS förbättra din integritet online. Privat DNS behövs dock inte när du använder ett VPN, och kan faktiskt göra din VPN-anslutning mindre säker.
I den här artikeln tittar vi på vad privat DNS är, hur det kan hjälpa till att skydda din integritet och hur du aktiverar det på din enhet, men också varför du inte bör använda det med ett VPN.
- Vad är DNS?
- Varför DNS utgör ett integritetsproblem
- Vad är privat DNS-läge?
- Privata DNS-protokoll
- Privat DNS är inte lika privat som ett VPN
- Använd inte privat DNS och ett VPN tillsammans
- Hur du använder privat DNS
Vad är DNS?
Domain Name System (DNS) mappar användarvänliga domännamn till deras motsvarande datorvänliga numeriska IP-adresser.
Till exempel använder webbplatsen för Proton VPN domännamnet protonvpn.com, vilket motsvarar IP-adressen 185.159.159.140. När du skriver in www.protonvpn.com i din webbläsares URL-fält måste domännamnet konverteras till dess motsvarande IP-adress för att datorer ska förstå det.
Denna konverteringsprocess utförs vanligtvis av särskilda DNS-servrar som drivs av din internetleverantör (ISP).
Varför DNS utgör ett integritets- och censurproblem
Vem som än löser dina DNS-förfrågningar kan se vilka webbplatser du besöker (men inte vad du gör på dem). Om du inte använder ett VPN eller aktivt ändrar dina DNS-inställningar är det din internetleverantör som löser dina DNS-förfrågningar.
Det är viktigt att förstå att din internetleverantör som standard kan övervaka vad du gör online, även när den inte löser dina DNS-förfrågningar. Detta är dock det enklaste (och därmed billigaste) sättet för dem att logga din webbhistorik.
De flesta internetleverantörer som loggar sina kunders webbhistorik (vilket är de flesta internetleverantörer) väljer därför minsta motståndets lag och begränsar sig till att logga kundernas DNS-poster. I de flesta jurisdiktioner tillåter denna minimala nivå av loggning internetleverantörer att uppfylla eventuella lagliga skyldigheter de har att logga användares webbhistorik.
På samma sätt, när regeringar vill censurera internetinnehåll av sociala, religiösa, politiska eller ”moraliska” skäl, ber de inhemska internetleverantörer att genomdriva dessa blockeringar. Och det enklaste sättet att göra detta är to blockera DNS-förfrågningar till specifika webbplatser och appar. Att använda en internationell DNS-lösare från tredje part kan kringgå dessa enkla (men effektiva) censurblockeringar.

Graffiti i Istanbul som uppmuntrar människor att använda Googles DNS-servrar för att kringgå ett statligt censurtillslag 2014(nytt fönster)
Vad är privat DNS-läge?
Till skillnad från de flesta anslutningar till webbplatser, som är skyddade av HTTPS(nytt fönster), skickas DNS-förfrågningar vanligtvis som okrypterad, oformaterad text. Detta innebär att alla som har tillgång till DNS-förfrågningarna (t.ex. din internetleverantör) kan läsa dem, även om de löses av en tredje part.
Om en internetleverantör skulle anstränga sig extra för att spionera på sina kunder (vilket den kan tvingas till av en mer restriktiv regering), skulle den helt enkelt kunna övervaka och logga DNS-förfrågningarna till tredjepartslösare. Med mer sofistikerad teknik skulle den också kunna implementera censur genom att filtrera dessa förfrågningar.
Privat DNS förhindrar detta genom att kryptera dina DNS-förfrågningar när de färdas mellan din enhet och en DNS-server från tredje part. Detta säkerställer att din internetleverantör (eller någon annan som övervakar din internetanslutning) inte kan se dina DNS-förfrågningar.
Privat DNS innebär därför en betydande förbättring av DNS-integritet och -säkerhet jämfört med traditionella okrypterade DNS-förfrågningar. Det har dock också flera begränsningar som vi kommer att diskutera senare.
Privata DNS-protokoll
Privat DNS uppnås med hjälp av ett av tre säkerhetsprotokoll: DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) och DNSCrypt.
DNS-over-TLS
DoT krypterar DNS-förfrågningar med protokollet Transport Layer Security(nytt fönster) (TLS), vilket säkerställer att data inte enkelt kan snappas upp eller ändras. DoT körs över port 853, vilket gör det lättare för nätverk att blockera eller övervaka specifikt DoT-trafik, eftersom den inte smälter in med andra typer av trafik.
Detta gör DoT till det föredragna valet i nätverk som vill ha viss kontroll över trafiken som passerar genom dem. DoT är också mindre komplext att implementera på servernivå än DoH.
DNS-over-HTTPS
DoH använder HTTPS, protokollet som säkrar all känslig information på internet, för att kryptera DNS-förfrågningar. Precis som DoT använder DoH TLS för att kryptera DNS-förfrågningarna, men DoH-anslutningar körs över port 443 så att de blandas med vanlig HTTPS-webbtrafik. Detta gör det svårt för observatörer att skilja DNS-trafik från andra typer av webbtrafik, vilket gör DoH mer privat och motståndskraftigt mot censur än DoT.
Lär dig mer om HTTPS(nytt fönster)
DNSCrypt
Det äldsta privata DNS-protokollet, DNSCrypt, är väldigt likt DoH, men med några ytterligare funktioner som förbättrar DoH. DNSCrypt stöds dock inte i någon större utsträckning av operativsystem och webbläsare, och kräver därför att man kör programvara från tredje part(nytt fönster).
Så vilket är bäst? Alla dessa privata DNS-protokoll erbjuder enorma integritets- och säkerhetsförbättringar jämfört med att inte använda privat DNS alls, och har försumbar inverkan på dina surfhastigheter. Det finns legitima skäl för vissa nätverk att föredra DoT, men för de flesta slutanvändare gör den högre integritet som DoH erbjuder det till det bättre alternativet av de två.
På många sätt, och trots att det är det äldsta alternativet, är DNSCrypt fortfarande det bästa alternativet när det gäller integritet. Brist på stöd i hela DNS-ekosystemet begränsar dock dess attraktionskraft. Under resten av den här artikeln kommer vi att koncentrera oss på DoT och DoH, eftersom dessa protokoll inte kräver att du laddar ner ytterligare programvara.
Privat DNS är inte lika privat som ett VPN
Privat DNS erbjuder vissa integritetsfördelar, men dessa fungerar bara när internetleverantörer (ofta på uppdrag av regeringar) plockar lågt hängande frukter och inte lägger ner mycket verklig ansträngning på att censurera innehåll eller spionera på dig. Även om det kräver extra ansträngning kan en internetleverantör spåra dina anslutningar för att fastställa din webbhistorik och kan blockera trafik till specifika IP-adresser direkt.
För att förhindra att en internetleverantör ska kunna se vad du gör online (och därmed potentiellt censurera det) bör du använda ett VPN. Detta krypterar din anslutning mellan din enhet och VPN-servern, så att din internetleverantör inte kan se innehållet i dina data. DNS-förfrågningar dirigeras genom den krypterade anslutningen (även känd som en VPN-tunnel) för att lösas av din VPN-leverantör, så din internetleverantör kan inte veta vilka webbplatser eller andra resurser du besöker på internet.

På samma sätt kan webbplatser du besöker inte se din riktiga IP-adress. Allt de kan se är IP-adressen till VPN-servern.

Ett VPN ger därför mycket mer integritet än en privat DNS-tjänst.
Använd inte privat DNS och ett VPN tillsammans
Alla bra VPN-leverantörer driver sina egna DNS-servrar. När du använder ett VPN dirigeras DNS-förfrågningar genom VPN-tunneln och löses av VPN-tjänsten. Eftersom VPN-tunneln är krypterad krypteras DNS-förfrågningarna utan att det behövs ett privat DNS-protokoll.
Att konfigurera en DNS-tjänst från tredje part på ditt system ökar dessutom risken för att DNS-förfrågningar dirigeras utanför VPN-tunneln. Privat DNS ökar risken för att detta händer, eftersom kryptering av DNS-förfrågningarna gör det svårare för de DNS-skyddsåtgärder som används av VPN-programvaran att säkerställa att de dirigeras på rätt sätt genom VPN-tunneln.
Så inte nog med att privat DNS inte behövs när du använder ett VPN, det kan också orsaka en DNS-läcka.
Hur du använder privat DNS
För att använda privat DNS måste du först välja en DNS-lösare som stöder antingen DoT eller DoH (det är också möjligt att själv drifta en DNS-server, men det kräver gedigna tekniska kunskaper). Populära DNS-tjänster som stöder privat DNS och som åtminstone påstår sig värna om integriteten inkluderar:
- Cloudflare 1.1.1.1 — Denna stora kommersiella DNS-tjänst samlar endast in ”anonymiserade DNS-förfrågningsdata som skickas till Cloudflare-lösaren”. Cloudflare stöder DoT och DoH.
- Quad9 — en icke-vinstdrivande DNS-tjänst som inte samlar in någon personligt identifierbar information om sina användare. Det är viktigt att notera att användarnas IP-adresser inte lagras när en förfrågan görs. Quad9 stöder DoH.
- OpenNIC — OpenNIC beskriver sig som en decentraliserad, öppen, ocensurerad och demokratisk DNS-leverantör och är en samling av volontärdrivna DNS-servrar belägna runt om i världen. Till skillnad från de flesta DNS-tjänster, där en enda DNS-adress (som 1.1.1.1) ansluter dig till nätverket av DNS-servrar, väljer du med OpenNIC en enskild DNS-server att ansluta till. Loggningspolicyer, och huruvida privat DNS stöds (ofta i form av det äldre DNSCrypt-protokollet), beror helt på vem som driver DNS-servern du väljer.
När du har valt en DNS-leverantör har du två alternativ. Du kan konfigurera ditt operativsystem (OS) till att dirigera alla DNS-förfrågningar till din valda leverantör, eller så kan du konfigurera bara din webbläsare till att använda en privat DNS-tjänst.
Alla moderna operativsystem stöder DoT eller DoH (eller båda), precis som alla moderna webbläsare. Som standard ansluter Firefox automatiskt till Cloudflare 1.1.1.1-servrar med hjälp av DoH.

Slutliga tankar om privat DNS
Privat DNS är mycket mer privat, säkert och motståndskraftigt mot censur än vanlig okrypterad DNS, och åtminstone vissa DNS-leverantörer bryr sig mycket mer om din integritet än vad din internetleverantör gör. Så om du inte använder ett VPN bör du konfigurera ditt system eller din webbläsare till att använda en pålitlig DNS-tjänst som stöder privat DNS.
Ett VPN ger dock mycket mer integritet och är mycket mer effektivt för att motverka censur än att använda privat DNS. Var bara medveten om att du inte bör (och inte behöver) använda privat DNS när du använder ett VPN.






