DNS over TLS (DoT)Medel

DNS over TLS (DoT): Håll dina domänuppslag privata

Varje gång du skriver in en webbadress i din webbläsare skickar din enhet en DNS-förfrågan – i princip frågar den en server: "Vilket IP-adress har den här domänen?" Traditionellt sett skickas dessa förfrågningar okrypterade över internet, vilket innebär att din internetleverantör, nätverksadministratörer eller vem som helst som övervakar din anslutning kan se exakt vilka webbplatser du försöker besöka. DNS over TLS, vanligen förkortat DoT, utvecklades för att lösa det problemet.

Vad det är

DNS over TLS är ett nätverksprotokoll som omsluter dina DNS-förfrågningar i en TLS-krypterad anslutning (Transport Layer Security) – samma teknik som skyddar din internetbank eller din e-postinloggning. Istället för att skicka dessa "var finns den här webbplatsen?"-förfrågningar i klartext ser DoT till att de krypteras innan de lämnar din enhet. Protokollet standardiserades formellt 2016 under RFC 7858 och har sedan dess antagits av stora DNS-tjänster, däribland Cloudflare (1.1.1.1), Google (8.8.8.8) och andra.

Hur det fungerar

Normalt skickas DNS-trafik via port 53 och använder UDP eller TCP utan kryptering. DoT förändrar detta genom att upprätta en dedikerad TLS-anslutning via port 853. Så här ser det grundläggande flödet ut:

1. Din enhet (eller DNS-resolver) initierar ett TLS-handshake med DNS-servern och verifierar dess identitet med hjälp av digitala certifikat.
2. När den krypterade tunneln är upprättad skickas din DNS-förfrågan genom den – helt dold för utomstående.
3. DNS-servern behandlar förfrågan och skickar svaret tillbaka genom samma krypterade kanal.
4. Din enhet använder den returnerade IP-adressen för att ansluta till webbplatsen.

Eftersom DoT använder en dedikerad port (853) kan nätverksadministratörer och brandväggar enkelt identifiera och, om de väljer det, blockera DoT-trafik. Det är en viktig skillnad från den nära besläktade DNS over HTTPS (DoH), som blandar DNS-trafik med vanlig webbtrafik på port 443 och är svårare att blockera.

Varför det spelar roll för VPN-användare

Du kanske undrar – om jag redan använder ett VPN, behöver jag oroa mig för DoT? Det är en rimlig fråga. Ett VPN krypterar all din trafik, inklusive DNS-förfrågningar, när det är korrekt konfigurerat. Men det finns några viktiga nyanser att känna till:

• DNS-läckor: Om din VPN-klient inte är korrekt konfigurerad kan DNS-förfrågningar ibland kringgå den krypterade VPN-tunneln och skickas direkt till din internetleverantörs resolver i klartext. En DNS-läcka kan avslöja din surfaktivitet även när du tror att du är skyddad. DoT ger ett extra krypteringslager som hjälper till att skydda mot detta.
• Miljöer utan VPN: Inte alla använder VPN hela tiden. På öppna Wi-Fi-nätverk, på jobbet eller via mobildata skyddar DoT dina DNS-förfrågningar oberoende av ett VPN.
• ISP-övervakning och trafikbegränsning: Utan krypterad DNS kan din internetleverantör logga varje domän du besöker och potentiellt sälja dessa metadata eller använda dem för att begränsa specifika tjänster. DoT hindrar dem från att läsa dessa förfrågningar.

Praktiska exempel och användningsområden

Hemmanätverkssäkerhet: Genom att konfigurera din router eller lokala DNS-resolver att använda DoT (och peka mot en integritetsfokuserad tjänst som Cloudflare eller Quad9) drar varje enhet i ditt nätverk nytta av krypterade DNS-uppslag – utan att du behöver installera något extra på varje enskild enhet.

Mobil integritet: Android 9 och senare versioner innehåller en inbyggd funktion kallad "Privat DNS" som stöder DoT. Du kan aktivera den i inställningarna och dirigera alla DNS-förfrågningar via en krypterad resolver utan någon tredjepartsapp.

Företagsnätverk: IT-team använder DoT för att förhindra att anställda eller angripare på nätverket avlyssnar interna DNS-förfrågningar, vilket minskar risken för DNS-spoofing eller man-in-the-middle-attacker.

Journalister och aktivister: I regioner med omfattande internetövervakning ger krypterade DNS-förfrågningar ett betydelsefullt integritetsskydd och gör det svårare för övervakningssystem att bygga upp en bild av onlinebeteende enbart baserat på DNS-trafik.

DoT är inte en komplett integritetslösning i sig – din faktiska webbtrafik kräver fortfarande HTTPS eller ett VPN för fullständigt skydd – men det täpper till en ofta förbisedd lucka i den vardagliga internetsäkerheten.