Proč VPN samotné nezabrání vašemu poskytovateli internetových služeb ve sledování vás

Proč VPN samotné nezabrání vašemu poskytovateli internetových služeb ve sledování vás

Mnoho lidí předpokládá, že používání VPN stačí k zachování soukromí jejich internetové aktivity. A přestože VPN skutečně šifruje váš provoz a skrývá vaši IP adresu před webovými stránkami, existuje tišší mechanismus sledování, který často zůstává nepovšimnut: výchozí nastavení DNS. Nedávno zveřejněná příručka ochrany soukromí upozorňuje na to, jak poskytovatelé internetových služeb využívají DNS k zaznamenávání vaší aktivity při prohlížení, a proč je přechod na šifrované DNS zásadním krokem, který by měli zvážit i uživatelé VPN.

Co je DNS a proč na tom záleží?

Pokaždé, když zadáte adresu webové stránky do prohlížeče, váš zařízení odešle požadavek na server systému doménových jmen (DNS), aby přeložil tuto člověku srozumitelnou adresu na IP adresu, kterou mohou počítače skutečně používat. Představte si to jako vyhledávání v telefonním seznamu, které probíhá neviditelně na pozadí pokaždé, když navštívíte webovou stránku.

Ve výchozím nastavení je většina zařízení nakonfigurována tak, aby používala DNS servery poskytované jejich poskytovatelem internetových služeb. To znamená, že pokud jste nezměnili svá nastavení, váš poskytovatel internetových služeb zpracovává každý z těchto dotazů. A protože DNS dotazy byly tradičně odesílány jako prostý text, může váš poskytovatel internetových služeb přesně vidět, které domény požadujete, i když je obsah samotných webových stránek šifrován prostřednictvím HTTPS.

HTTPS chrání data vyměňovaná mezi vaším prohlížečem a webovou stránkou. Nezakrývá však skutečnost, že jste danou webovou stránku vůbec navštívili. Tento rozdíl je důležitý a právě tuto mezeru výchozí nastavení DNS nechávají zcela otevřenou.

Mezera ve VPN: Co váš tunel ne vždy pokryje

VPN směruje váš internetový provoz přes šifrovaný tunel na server provozovaný poskytovatelem VPN, který pak zadává požadavky vaším jménem. Pro většinu aktivit při prohlížení je to účinné při zamezení tomu, aby váš poskytovatel internetových služeb viděl obsah vašich připojení a konkrétní stránky, které navštěvujete.

DNS však může být slabým místem v závislosti na tom, jak je VPN nakonfigurována. Pokud VPN nezpracovává DNS požadavky interně, nebo pokud dojde k takzvanému úniku DNS, mohou tyto dotazy stále procházet přes servery vašeho poskytovatele internetových služeb. Výsledkem je, že váš poskytovatel internetových služeb může nadále sestavovat záznamy domén, na které se dotazujete, i když se domníváte, že váš provoz je plně chráněn.

Nejde o chybu specifickou pro jediného poskytovatele. Jedná se o strukturální problém, který zdůrazňuje, proč je ochrana soukromí nejlépe řešena ve vrstvách, spíše než spoléháním se na jediný nástroj.

DNS-over-HTTPS: Šifrování telefonního seznamu

Řešením doporučeným v příručce ochrany soukromí je přechod na DNS-over-HTTPS, často zkracovaný jako DoH. Tento protokol šifruje vaše DNS dotazy tak, aby vypadaly jako běžný HTTPS webový provoz pro kohokoli, kdo sleduje vaše připojení, včetně vašeho poskytovatele internetových služeb.

S povoleným DoH již váš poskytovatel internetových služeb nemůže snadno číst ani zaznamenávat názvy domén, které vyhledáváte. Dotazy jsou odesílány na DNS resolver kompatibilní s DoH, nikoli na vlastní servery poskytovatele internetových služeb, čímž je poskytovatel internetových služeb odstraněn jako prostředník v této části vašeho prohlížení.

Mnoho hlavních prohlížečů nyní podporuje DNS-over-HTTPS nativně a umožňuje vám jej aktivovat přímo v nastavení bez instalace dalšího softwaru. Příručka také poznamenává, že úprava nastavení výkonu prohlížeče může pomoci snížit další možnosti sledování IP adresy a sběru dat, čímž přidává další postupnou vrstvu ochrany.

Za zmínku stojí, že přepnutím poskytovatele DNS znamená, že místo vašeho poskytovatele internetových služeb bude tyto dotazy zpracovávat jiná organizace. Výběr resolveru s jasnou, veřejnou zásadou ochrany soukromí a závazkem nezaznamenávat data je důležitou součástí tohoto rozhodnutí.

Co to pro vás znamená

Pokud v současné době používáte VPN a předpokládali jste, že váš DNS provoz je plně pokryt, stojí za to to ověřit. Mnoho VPN aplikací obsahuje nástroj pro testování úniku DNS a nezávislé testovací stránky vám mohou pomoci zjistit, zda jsou vaše DNS dotazy směrovány přes vaši VPN nebo ji zcela obcházejí.

Pokud VPN nepoužíváte, povolení DNS-over-HTTPS ve vašem prohlížeči je jedním z nejpřímočařejších zlepšení soukromí, které můžete provést právě teď. Nevyžaduje žádné placené předplatné a lze jej aktivovat během několika minut ve většině moderních prohlížečů.

Pro ty, kteří chtějí komplexní ochranu, poskytuje kombinace dobře nakonfigurované VPN se šifrovaným DNS výrazně silnější soukromí než každý přístup samostatně. Oba nástroje řeší překrývající se, ale odlišné části toho, jak je vaše aktivita při prohlížení vystavena.

Praktické závěry

• Zkontrolujte nastavení prohlížeče a najděte možnost DNS-over-HTTPS nebo „Zabezpečené DNS" a povolte ji, pokud ještě není aktivní.
• Spusťte test úniku DNS, pokud používáte VPN, abyste potvrdili, že vaše DNS dotazy jsou zpracovávány v rámci tunelu VPN.
• Zkontrolujte svůj výběr DNS resolveru a hledejte poskytovatele s transparentními, veřejně dostupnými zásadami ochrany soukromí a zaznamenávání dat.
• Nespoléhejte se pouze na HTTPS pro ochranu vašeho soukromí před poskytovatelem internetových služeb. Šifrované DNS řeší vektor sledování, který HTTPS nikdy nebylo navrženo pokrýt.

Váš poskytovatel internetových služeb má strukturální přehled o vašem prohlížení, o kterém si většina lidí není vědoma. Pochopení toho, jak DNS zapadá do tohoto obrázku, je praktickým prvním krokem k uzavření této mezery.