Det er forskjellige måter å beskytte DNS-spørsmålene dine på, men hver tilnærming har sine egne styrker og svakheter.
Domain Name System (DNS) er allment ansett som telefonboken til internett, og konverterer domenenavn til informasjon som kan leses av datamaskiner, for eksempel IP-adresser.
Hver gang du skriver et domenenavn i adressefeltet, konverterer DNS det automatisk til dens tilsvarende IP-adresse. Nettleseren din bruker denne informasjonen til å hente dataene fra opprinnelsesserveren og laste inn nettstedet.
Men cyberkriminelle kan ofte spionere på DNS-trafikk, noe som gjør kryptering nødvendig for å holde nettsurfingen din privat og sikker.
Hva er DNS-krypteringsprotokoller?
DNS-krypteringsprotokoller er utviklet for å øke personvernet og sikkerheten til nettverket eller nettstedet ditt ved å kryptere DNS-spørringer og -svar. DNS-spørringer og -svar sendes jevnlig i ren tekst, noe som gjør det lettere for nettkriminelle å avskjære og tukle med kommunikasjonen.
DNS-krypteringsprotokoller gjør det stadig vanskeligere for disse hackerne å se og endre dine sensitive data eller forstyrre nettverket ditt. Det finnes ulike
krypterte DNS-leverandører som kan beskytte spørsmålene dine mot nysgjerrige øyne.De vanligste DNS-krypteringsprotokollene
Det er flere DNS-krypteringsprotokoller i bruk i dag. Disse krypteringsprotokollene kan brukes til å forhindre snooping på et nettverk ved å kryptere trafikk enten innenfor HTTPS-protokollen over en TLS-forbindelse (Transport Layer Security).
1. DNSCrypt
DNSCrypt er en nettverksprotokoll som krypterer all DNS-trafikk mellom brukerens datamaskin og generelle navneservere. Protokollen bruker offentlig nøkkelinfrastruktur (PKI) for å verifisere autentisiteten til DNS-serveren og klientene dine.
Den bruker to nøkler, en offentlig nøkkel og en privat nøkkel for å autentisere kommunikasjonen mellom klienten og serveren. Når en DNS-spørring startes, krypterer klienten den ved hjelp av serverens offentlige nøkkel.
Den krypterte spørringen sendes deretter til serveren, som dekrypterer spørringen ved hjelp av sin private nøkkel. På denne måten sikrer DNSCrypt at kommunikasjonen mellom klienten og serveren alltid er autentisert og kryptert.
DNSCrypt er en relativt eldre nettverksprotokoll. Den har i stor grad blitt erstattet av DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH) på grunn av den bredere støtten og sterkere sikkerhetsgarantier gitt av disse nyere protokollene.
2. DNS-over-TLS
DNS-over-TLS krypterer DNS-søket ditt ved hjelp av Transport Layer Security (TLS). TLS sikrer at DNS-søket ditt er kryptert ende-til-ende, forhindre mann-i-midten (MITM) angrep.
Når du bruker DNS-over-TLS (DoT), sendes DNS-spørringen din til en DNS-over-TLS-løser i stedet for en ukryptert løser. DNS-over-TLS-resolveren dekrypterer DNS-spørsmålet ditt og sender det til den autoritative DNS-serveren på dine vegne.
Standardporten for DoT er TCP-port 853. Når du kobler til ved hjelp av DoT, utfører både klienten og resolveren et digitalt håndtrykk. Deretter sender klienten sin DNS-spørring gjennom den krypterte TLS-kanalen til løseren.
DNS-resolveren behandler spørringen, finner den tilsvarende IP-adressen og sender svaret tilbake til klienten gjennom den krypterte kanalen. Det krypterte svaret mottas av klienten, hvor det dekrypteres, og klienten bruker IP-adressen for å koble til ønsket nettside eller tjeneste.
3. DNS-over-HTTPS
HTTPS er den sikre versjonen av HTTP som nå brukes for å få tilgang til nettsteder. I likhet med DNS-over-TLS, krypterer DNS-over-HTTPS (DoH) også all informasjon før den sendes over nettverket.
Mens målet er det samme, er det noen grunnleggende forskjeller mellom DoH og DoT. For det første sender DoH alle krypterte spørringer over HTTPS i stedet for å opprette en TLS-tilkobling direkte for å kryptere trafikken din.
For det andre bruker den port 403 for generell kommunikasjon, noe som gjør det vanskelig å skille fra generell nettrafikk. DoT bruker port 853, noe som gjør det mye enklere å identifisere trafikk fra den porten og blokkere den.
DoH har sett bredere bruk i nettlesere som Mozilla Firefox og Google Chrome, ettersom den utnytter den eksisterende HTTPS-infrastrukturen. DoT er mer vanlig brukt av operativsystemer og dedikerte DNS-løsere, i stedet for å være direkte integrert i nettlesere.
To hovedgrunner til at DoH har sett bredere bruk er fordi det er mye enklere å integrere i eksisterende web nettlesere, og enda viktigere, den blander seg sømløst med vanlig nettrafikk, noe som gjør det mye vanskeligere blokkere.
4. DNS-over-QUIC
Sammenlignet med de andre DNS-krypteringsprotokollene på denne listen, er DNS-over-QUIC (DoQ) ganske ny. Det er en fremvoksende sikkerhetsprotokoll som sender DNS-spørringer og svar over QUIC (Quick UDP Internet Connections) transportprotokollen.
Mesteparten av internettrafikken i dag er avhengig av Transmission Control Protocol (TCP) eller User Datagram Protocol (UDP), med DNS-spørringer som vanligvis sendes over UDP. Imidlertid ble QUIC-protokollen introdusert for å overvinne noen få ulemper ved TCP/UDP og bidrar til å redusere ventetiden og forbedre sikkerheten.
QUIC er en relativt ny transportprotokoll utviklet av Google, designet for å gi bedre ytelse, sikkerhet og pålitelighet sammenlignet med tradisjonelle protokoller som TCP og TLS. QUIC kombinerer funksjoner til både TCP og UDP, samtidig som den integrerer innebygd kryptering som ligner på TLS.
Siden det er nyere, tilbyr DoQ flere fordeler i forhold til protokollene nevnt ovenfor. For det første tilbyr DoQ raskere ytelse, reduserer den totale ventetiden og forbedrer tilkoblingstider. Dette resulterer i raskere DNS-oppløsning (tiden det tar for DNS å løse IP-adressen). Til syvende og sist betyr dette at nettsider blir servert til deg raskere.
Enda viktigere er at DoQ er mer motstandsdyktig mot pakketap sammenlignet med TCP og UDP, ettersom den kan gjenopprette fra tapte pakker uten å kreve en full retransmisjon, i motsetning til TCP-baserte protokoller.
Dessuten er det mye enklere å migrere tilkoblinger ved hjelp av QUIC. QUIC kapsler inn flere strømmer innenfor en enkelt tilkobling, og reduserer antall rundturer som kreves for en tilkobling, og forbedrer dermed ytelsen. Dette kan også være nyttig når du bytter mellom Wi-Fi og mobilnettverk.
QUIC er ennå ikke tatt i bruk mye sammenlignet med andre protokoller. Men selskaper som Apple, Google og Meta bruker allerede QUIC, og lager ofte sin egen versjon (Microsoft bruker MsQUIC for all sin SMB-trafikk), noe som lover godt for fremtiden.
Forvent flere endringer i DNS i fremtiden
Nye teknologier forventes å fundamentalt endre måten vi får tilgang til nettet på. For eksempel utnytter mange selskaper nå blockchain-teknologier for å komme opp med sikrere domenenavnsprotokoller, som HNS og Unstoppable Domains.
