Security Christmas

Kryptert DNS

A 3 minute read written by
Emil Øien Lunde
05.12.2019

Previous postNext post

Når vi surfer på nettet i dag er det meste av trafikken kryptert. Bruksstatistikk fra Google viser at ca. 90 prosent av nettstedene som lastes i nettleseren Chrome lastes over HTTPS. Selv om mye av innholdet vi laster opp og ned over internett er beskyttet, er det fortsatt mye annen informasjon om internettaktiviteten vår som er tilgjengelig for uvedkommende.

Så å si all aktivitet på internett starter med et DNS-oppslag. Formålet med DNS er å oversette lesbare domenenavn, f.eks. bekk.no, til en IP-adresse som brukes til å opprette en forbindelse til en annen datamaskin. Disse oppslagene sendes som standard i klartekst, noe som betyr at andre enkelt kan lese og endre denne trafikken. Det betyr blant annet at:

Hvordan kan vi beskytte oss mot disse problemene? Internet Engineering Task Force har standardisert to protokoller for sikker transport av DNS, nemlig DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH). Begge protokollene baserer seg på offentlig-nøkkel-kryptografi for sikker kommunikasjon, men opererer på forskjellig nivå i nettverksstakken. DoT baserer seg på at man oppretter en sikker tilkobling mellom klient og tjener vha. TLS på en kjent port, 853 som standard, og sender vanlige DNS-meldinger over denne tilkoblingen. DoH bruker HTTPS for å kryptere kommunikasjonen og benytter en egen mediatype for å sende DNS-oppslag og -responser. Et typisk DoH-oppslag ser slik ut:

curl -H "accept: application/dns-json" "https://cloudflare-dns.com/dns-query?name=bekk.no"

Standarden spesifiserer ikke hvordan man finner IP-adressen til DoH-tilbyderen (cloudflare-dns.com i dette tilfellet), men den kan f.eks. inkluderes som en del av konfigurasjonen eller hentes vha. et tradisjonelt DNS-oppslag.

Den viktigste forskjellen mellom protokollene er at DoT separerer de krypterte DNS-forespørslene til en egen port, mens DoH-trafikk ikke er mulig å skille fra annen HTTPS-trafikk. De som er mest opptatt av personvern foretrekker derfor DoH, mens de som mener at det å kunne oppdage og beskytte nettverk mot ondsinnet aktivitet er viktigere, foretrekker DoT. Du kan lese mer om dette her.

Stadig flere DNS-klienter og -tilbydere implementerer disse standardene, men i skrivende stund er man fortsatt avhengig av å aktivt konfigurere kryptert DNS på enhetene sine selv. Det er i ferd med å endre seg. Firefox har allerede begynt å rulle ut DoH som standard for amerikanske brukere, mens Opera og Chrome har annonsert eksperimentell støtte for DoH i kommende versjoner av nettleserene.

Utrullingen av kryptert DNS som standard er kontroversiell. Nettleserene kommer til å benytte en innebygget liste av DoH-tilbydere og dermed ignorere de vanlige DNS-innstillingene i operativsystemet. Det betyr at internettleverandørers foreldrekontroll omgås og bedrifters mulighet til å detektere og hindre uønsket nettverkstrafikk begrenses. En annen bekymring er at DNS-trafikken sentraliseres hos kommersielle selskaper i USA, noe som hverken er bra for personvernet eller robustheten til systemet.

De som forsvarer DoH sier at «DNS-verden» kan takke seg selv fordi de så langt har mislyktes i å tilby kryptert DNS. Nettleserene har dermed ikke noe annet valg dersom de skal gi brukerene sine sikre domenenavnoppslag innen rimelig tid. Electronic Frontier Foundation deler bekymringene angående sentraliseringen av DNS, men sier samtidig at fordelene utveier ulempene og at sentraliseringseffekten kan reduseres ved at nettverksoperatørene selv tilbyr kryptert DNS.

Til tross for kontroversene blir begge standardene stadig mer utbredt. Noen av de mest brukte nettleserene tester som nevnt ut DoH, mens DoT ble inkludert i Android 9. En oversikt over implementasjoner blir løpende oppdatert her. Selv om det er uenighet om hvilken standard som er best, virker det i hvert fall som om det er bred enighet om at kryptert DNS er et viktig steg i retning av en tryggere internetthverdag.

Read the next post

Read more outside the calendar