Hvad er forskellen mellem DNS over TLS (DoT) og DNS over HTTPS (DoH)?

Begge protokoller krypterer DNS-forespørgsler, men de fungerer på forskellig måde. DoT bruger en dedikeret port (853), hvilket gør det nemt for netværksadministratorer at identificere og blokere. DoH sender derimod DNS-trafik over port 443 – den samme port som almindelig HTTPS-webtrafik – hvilket gør det langt sværere at blokere, men til gengæld sværere at filtrere på netværksniveau.

Beskytter DoT mig helt, hvis jeg ikke bruger en VPN?

DoT beskytter specifikt dine DNS-forespørgsler mod aflytning og manipulation, men det er ikke en komplet privatlivsløsning. Dit faktiske webbrowsing-indhold, din IP-adresse og andre forbindelsesdata forbliver synlige uden en VPN eller HTTPS. DoT og en VPN supplerer hinanden og løser tilsammen forskellige aspekter af onlineprivatliv.

Hvordan aktiverer jeg DNS over TLS på min enhed?

Metoden varierer afhængigt af din enhed. På Android 9 og nyere kan du gå til Indstillinger > Netværk & internet > Avanceret > Privat DNS og indtaste adressen på en DoT-understøttende resolver som "1.1.1.1" fra Cloudflare eller "dns.google" fra Google. På desktop-systemer understøtter nyere versioner af Windows og macOS krypteret DNS via systemindstillinger, eller du kan konfigurere det direkte i din router for at beskytte hele netværket.

Kan DNS over TLS forhindre DNS-lækager, når jeg bruger en VPN?

DoT kan hjælpe med at reducere risikoen for DNS-lækager ved at kryptere forespørgsler, inden de forlader din enhed, men det er ikke en garanti mod alle former for lækager. Den mest pålidelige måde at forhindre DNS-lækager på er at bruge en VPN-klient, der er konfigureret til at håndtere DNS internt, kombineret med regelmæssige lækagetest. Nogle VPN-tjenester tilbyder desuden integreret DoT- eller DoH-understøttelse for et ekstra beskyttelseslag.

DNS over TLS (DoT)

DNS over TLS (DoT): Bevar fortroligheden af dine domæneopslag

Hver gang du indtaster en hjemmesideadresse i din browser, sender din enhed en DNS-forespørgsel – i bund og grund spørger den en server: "Hvad er IP-adressen for dette domæne?" Traditionelt rejser disse forespørgsler ukrypteret over internettet som almindelig tekst, hvilket betyder, at din internetudbyder, netværksadministratorer eller enhver, der overvåger din forbindelse, præcist kan se, hvilke hjemmesider du forsøger at besøge. DNS over TLS, ofte forkortet som DoT, blev udviklet for at løse dette problem.

Hvad det er

DNS over TLS er en netværksprotokol, der pakker dine DNS-forespørgsler ind i en TLS-krypteret (Transport Layer Security) forbindelse – den samme teknologi, der beskytter din netbank eller dit e-mail-login. I stedet for at sende disse "hvor finder jeg denne hjemmeside?"-forespørgsler ud i det åbne, sørger DoT for, at de er krypteret, inden de forlader din enhed. Protokollen blev formelt standardiseret i 2016 under RFC 7858 og er siden blevet adopteret af store DNS-resolvere, herunder Cloudflare (1.1.1.1), Google (8.8.8.8) og andre.

Sådan fungerer det

Normalt kører DNS-trafik over port 53 og bruger UDP eller TCP uden nogen form for kryptering. DoT ændrer dette ved at etablere en dedikeret TLS-forbindelse over port 853. Sådan ser det grundlæggende forløb ud:

Din enhed (eller DNS-resolver) indleder et TLS-håndtryk med DNS-serveren og verificerer dens identitet ved hjælp af digitale certifikater.
Når den krypterede tunnel er etableret, rejser din DNS-forespørgsel igennem den – fuldstændigt skjult for udefrakommende.
DNS-serveren behandler forespørgslen og sender svaret tilbage gennem den samme krypterede kanal.
Din enhed bruger den returnerede IP-adresse til at oprette forbindelse til hjemmesiden.

Fordi DoT opererer på en dedikeret port (853), kan netværksadministratorer og firewalls nemt identificere og – hvis de ønsker det – blokere DoT-trafik. Dette er én væsentlig forskel fra dens nære fætter DNS over HTTPS (DoH), som blander DNS-trafik ind i almindelig webtrafik på port 443 og er sværere at blokere.

Hvorfor det er relevant for VPN-brugere

Du spørger måske – hvis jeg allerede bruger en VPN, behøver jeg så bekymre mig om DoT? Det er et rimeligt spørgsmål. En VPN krypterer al din trafik, herunder DNS-forespørgsler, når det er konfigureret korrekt. Der er dog nogle vigtige nuancer:

DNS-lækager: Hvis din VPN-klient ikke er konfigureret korrekt, kan DNS-forespørgsler nogle gange omgå den krypterede VPN-tunnel og gå direkte til din internetudbyders resolver som ukrypteret tekst. En DNS-lækage kan afsløre din browseraktivitet, selv når du tror, du er beskyttet. DoT tilbyder et ekstra krypteringslag, der hjælper med at beskytte mod dette.
Miljøer uden VPN: Ikke alle bruger en VPN hele tiden. På åbne Wi-Fi-netværk, på arbejdet eller via mobildata beskytter DoT dine DNS-forespørgsler uafhængigt af en VPN.
Internetudbyderens overvågning og hastighedsbegrænsning: Uden krypteret DNS kan din internetudbyder registrere hvert domæne, du besøger, og potentielt sælge disse metadata eller bruge dem til at begrænse hastigheden på bestemte tjenester. DoT forhindrer dem i at læse disse forespørgsler.

Praktiske eksempler og anvendelsesscenarier

Hjemmenetværkssikkerhed: Hvis du konfigurerer din router eller lokale DNS-resolver til at bruge DoT – og peger den mod en privatlivsfokuseret resolver som Cloudflare eller Quad9 – får alle enheder på dit netværk glæde af krypterede DNS-opslag uden at skulle installere noget ekstra på hver enkelt enhed.

Mobilprivatliv: Android 9 og nyere versioner inkluderer en indbygget "Privat DNS"-funktion, der nativt understøtter DoT. Du kan aktivere den i indstillingerne og route alle DNS-forespørgsler gennem en krypteret resolver uden nogen tredjepartsapp.

Virksomhedsnetværk: IT-teams bruger DoT til at forhindre medarbejdere eller angribere på netværket i at opsnappe interne DNS-forespørgsler, hvilket reducerer risikoen for DNS-spoofing eller man-in-the-middle-angreb.

Journalister og aktivister: I regioner med omfattende internetovervågning tilføjer kryptering af DNS-forespørgsler et meningsfuldt privatlivslag, der gør det sværere for overvågningssystemer at danne sig et billede af onlineadfærd udelukkende baseret på DNS-trafik.

DoT er ikke i sig selv en fuldstændig privatlivsløsning – din faktiske webtrafik kræver stadig HTTPS eller en VPN for fuld beskyttelse – men det lukker et ofte overset hul i den daglige internetsikkerhed.

DNS over TLS (DoT)Mellem

DNS over TLS (DoT): Bevar fortroligheden af dine domæneopslag

Hvad det er

Sådan fungerer det

Hvorfor det er relevant for VPN-brugere

Praktiske eksempler og anvendelsesscenarier

// FAQ