DNS over HTTPS (DoH) är på god väg att bli en accepterad standard av Internet Engineering Task Force (IETF), men vad är egentligen DoH och vad skiljer det jämfört med en vanlig DNS eller krypterade lösningar som DNS over TLS (DoT)?
"The Basics"
DoH bygger vidare på grunderna från DoT. Gemensamt för båda lösningarna är att trafiken till och från din DNS-server blir krypterad. Varför är det en bra grej, då? Jo, för att befintliga DNS-lösningar där man pratar med en server över UDP mot port 53 inte krypteras. Det betyder att även om du använder https så läcker du information om vilka sidor du besöker. Även om andra inte kan se exakt vilka undersidor du besöker kan det ibland räcka att se att du besöker example.com för att veta vad du gör.
Dessutom kan trafiken förvanskas och du kan luras att besöka fel sidor. Till och med Google har drabbats av detta, då deras DNS 8.8.8.8 kidnappades under 22 minuter 2014, vilket påverkade stora delar av latinamerika.
Fördelen med DoH jämfört med DoT är att DoH använder den oerhört utvecklade och befintliga infrastruktur som finns för HTTPS. Det finns oändligt med kodbibliotek, proxyer, lastbalanserare och annat som redan kan prata HTTPS. När QUIC (Quick UDP internet connection – en än så länge experimentell teknik för att effektivisera dataöverföring på internet) väl tagit över efter HTTP/2 kommer det krävas ytterst lite för att bygga in stöd i DoH.
En annan intressant aspekt är användandet av PUSH. Det gör det möjligt för ett HTTP-koppel att potentiellt skicka oinitierade svar. Detta kan tyckas märkligt och även om det finns många problem kvar att lösa vad gäller säkerhet och integritet, kan det vara ett steg mot en framtid där en server kan gissa sig till vad du är intresserad av för DNS-anrop innan du frågat den.
Det här låter riktigt spännande, hur kommer jag igång själv?
Om du vill kryptera din DNS-trafik utan att själv konfigurera en server kan du tack vare Firefox Nightly komma igång direkt genom att ladda ner den från Mozilla.org. Firefox Nightly använder TRR (Trusted Recursive Resolver) som stöder DoH fullt ut.
När du installerat det startar du Firefox och skriver about:config
i adressfältet. I sökfältet skriver du sedan network.trr
så ser du en lista över inställningar. I den här guiden kommer vi fokusera på de två saker du bör ändra för att komma igång. Det första du behöver ändra är network.trr.uri
, vilket du gör genom att helt enkelt dubbelklicka på raden. Skriv in https://dns.google.com/experimental
vilket är en av de öppna servrar som finns som stöder DoH. Du hittar fler servrar på GitHub.
Nästa värde vi behöver ändra är network.trr.mode
. Här finns lite olika vägar framåt där du kan välja mellan en kombination av vanlig DNS-trafik och DoH, eller att använda vanlig DNS som fallback. Men låt oss använda enbart DoH för att verkligen testa tekniken. Detta gör du genom att skriva in 3
i fältet. Du kan lämna övriga värden som default. Du kan nu stänga about:config och öppna en ny flik.
Prova att besöka https://cloud.glesys.com. Fungerade det? Grattis! Du använder nu DNS over HTTPS och skickar krypterad DNS-trafik.
Läs mer om DNS over HTTPS hos Mozilla
Här finns utkastet till en standard hos IETF
Vill du sätta upp en egen server och labba vidare med DoH?
Läs vår guide hur du sätter upp en egen server för DoH i GleSYS Cloud.