Hvad er DNS-Over-HTTPS, og hvordan aktiveres det på din enhed (eller browser)

Prøv Vores Instrument Til At Fjerne Problemer

DNS-over-HTTPS (Secure DNS) er en ny teknologi, der har til formål at gøre webbrowsing sikker ved at kryptere kommunikationen mellem klientcomputeren og DNS-serveren.

Denne nye internetstandard bliver bredt vedtaget. Adoptionslisten inkluderer Windows 10 (version 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera og Vivaldi for at nævne nogle få.

I denne artikel vil vi diskutere fordele og ulemper ved DNS-over-HTTPS og hvordan du aktiverer denne protokol på dine enheder.

Vi vil også diskutere, hvordan man tester, om DoH er aktiveret for dine enheder eller ej.

Lad os begynde. Hurtig oversigt skjule 1 En enkel forklaring på DNS-over-HTTPS og hvordan det fungerer 2 Fordele og ulemper ved DNS-over-HTTPS 2.1 DoH muliggør ikke fuldstændig privatliv for brugeren 2.2 DoH gælder ikke for HTTP -forespørgsler 2.3 Ikke alle DNS -servere understøtter DoH 2.4 DoH vil være en hovedpine for virksomheder 3 Sænker brugen af ​​DNS-over-HTTPS browsing? 4 Sådan aktiveres eller deaktiveres DNS-over-HTTPS på Windows 10 4.1 Brug af Windows -registreringsdatabasen 4.2 Brug af gruppepolitik 4.3 Brug af PowerShell (kommandolinje) 5 Sådan aktiveres eller deaktiveres DNS-over-HTTPS i dine browsere 5.1 Aktiver DNS-over-HTTPS i Google Chrome 5.2 Aktiver DNS-over-HTTPS i Mozilla Firefox 5.3 Aktiver DNS-over-HTTPS i Microsoft Edge 5.4 Aktiver DNS-over-HTTPS i Opera Browser 5.5 Aktiver DNS-over-HTTPS i Vivaldi Browser 6 Sådan aktiveres DNS-over-HTTPS i Android 7 Hvordan kontrollerer du, om du bruger DNS-over-HTTPS? 8 Liste over navneservere, der understøtter DoH

En enkel forklaring på DNS-over-HTTPS og hvordan det fungerer

DNS-over-HTTPS (DoH) er en protokol til kryptering af DNS-forespørgsler mellem din computer og DNS-serveren. Det blev først introduceret i oktober 2018 ( IETF RFC 8484 ) med et mål om at øge brugersikkerhed og privatliv.

Traditionelle DNS-servere gør brug af DNS-port 53 til kommunikation, mens DNS-over-HTTPS gør brug af HTTPS-port 443 til at kommunikere sikkert med klienten.

Bemærk, at selvom DoH er en sikkerhedsprotokol, forhindrer den ikke internetudbydere i at spore dine anmodninger. Det krypterer simpelthen DNS-forespørgselsdata mellem din computer og internetudbyderen for at forhindre problemer som spoofing, man-in-the-middle angreb osv.

Lad os forstå dette med et enkelt eksempel.

Sådan fungerer DNS:

  1. Hvis du vil åbne domænenavnet itechtics.com og anmode om det ved hjælp af din browser.
  2. Din browser sender en anmodning til DNS -serveren, der er konfigureret i dit system, f.eks. 1.1.1.1.
  3. DNS rekursiv resolver (1.1.1.1) går til rodserverne på topdomænet (TLD) (.com i vores tilfælde) og beder om navneservere på itechtics.com.
  4. Derefter går DNS -serveren (1.1.1.1) til navneservere på itechtics.com og beder om IP -adressen på itechtics.com DNS -navnet.
  5. DNS -serveren (1.1.1.1) overfører disse oplysninger til browseren, og browseren opretter forbindelse til itechtics.com og får et svar fra serveren.

Al denne kommunikation fra din computer til DNS -serveren til TLD DNS -servere til navneservere til webstedet og tilbage sker i form af enkle tekstbeskeder.

Det betyder, at alle kan overvåge din webtrafik og nemt vide, hvilke websteder du åbner.

DNS-over-HTTPS krypterer al kommunikation mellem din computer og DNS-serveren, hvilket gør den mere sikker og mindre tilbøjelig til man-in-the-middle og andre spoofing-angreb.

Lad os forstå dette med et visuelt eksempel:

Når DNS -klient sender DNS -forespørgsler over til DNS -serveren uden at bruge DoH:

DNS via HTTPS ikke aktiveret

Når en DoH -klient bruger DoH -protokollen til at sende DNS -trafik til den DoH -aktiverede DNS -server:

DNS via HTTPS aktiveret

Her kan du se, at DNS -trafikken fra klienten til serveren er krypteret, og ingen ved, hvad klienten har anmodet om. DNS -svaret fra serveren er også krypteret.

Fordele og ulemper ved DNS-over-HTTPS

Mens DNS-over-HTTPS langsomt vil erstatte det ældre DNS-system, har det sine egne fordele og potentielle problemer. Lad os diskutere nogle af dem her.

DoH muliggør ikke fuldstændig privatliv for brugeren

DoH udråbes som den næste store ting inden for brugeres privatliv og sikkerhed, men efter min mening er det kun fokuseret på brugersikkerhed og ikke på privatlivets fred.

Hvis du ved, hvordan denne protokol fungerer, ved du, at DoH ikke forhindrer internetudbydere i at spore bruger -DNS -anmodninger.

Selvom internetudbyderen ikke er i stand til at spore dig ved hjælp af DNS, fordi du bruger en anden offentlig DNS -udbyder, er der mange datapunkter, der stadig er åbne for internetudbyderne til sporing. For eksempel, Servernavn indikation (SNI) felter og Online OCSP -forbindelser (Certificate Status Protocol) etc.

Hvis du vil have mere privatliv, bør du tjekke andre teknologier som DNS-over-TLS (DoT), DNSCurve, DNSCrypt osv.

DoH gælder ikke for HTTP -forespørgsler

Hvis du åbner et websted, der ikke fungerer ved hjælp af SSL, falder DoH-serveren tilbage til den gamle DNS-teknologi (DNS-over-HTTP), også kendt som Do53.

Men hvis du bruger sikker kommunikation overalt, er DoH bestemt bedre end at bruge bare metal gamle og usikre DNS -teknologier.

Ikke alle DNS -servere understøtter DoH

Der er et stort antal ældre DNS-servere, der skal opgraderes for at understøtte DNS-over-HTTPS. Dette vil tage lang tid for bred udbredt adoption.

Indtil denne protokol understøttes af de fleste DNS -servere, vil de fleste brugere blive tvunget til at bruge de offentlige DNS -servere, der tilbydes af store organisationer.

Dette vil føre til flere problemer med privatlivets fred, da de fleste af DNS -dataene vil blive indsamlet på et par centraliserede steder rundt om i verden.

En anden ulempe ved tidlig vedtagelse af DoH er, at hvis en global DNS -server går ned, vil den snuble størstedelen af ​​brugerne, der bruger serveren til navneopløsning.

DoH vil være en hovedpine for virksomheder

Selvom DoH vil forbedre sikkerheden, vil det være en hovedpine for virksomheder og organisationer, der overvåger deres medarbejderes aktiviteter og bruger værktøjer til at blokere NSFW (ikke sikkert til arbejde) dele af nettet.

Netværks- og systemadministratorer vil have svært ved at klare den nye protokol.

Sænker brugen af ​​DNS-over-HTTPS browsing?

Der er to aspekter af DoH, man skal kigge efter, når man tester ydelsen i forhold til den ældre Do53 -protokol:

  1. Navneopløsningsevne
  2. Ydeevne for indlæsning af webside

Navneopløsningens ydeevne er den metric, vi bruger til at beregne den tid, det tager for DNS -serveren at give os den nødvendige server -IP -adresse på det websted, vi vil besøge.

Websideindlæsningseffektivitet er den faktiske metrik for, om vi føler en afmatning, når vi surfer på internettet ved hjælp af DNS-over-HTTPS-protokol.

Begge disse tests blev udført af samknows, og det endelige resultat er, at der er ubetydelig forskel i ydeevne mellem DNS-over-HTTPS og de ældre Do53-protokoller.

Du kan læse komplet performance case study med statistik på samknows .

Her er oversigtstabellerne for hver metric, vi definerede ovenfor. (Klik på billedet for større visning)

Navnopløsning præstationstest DoH vs Do53 ISP

DoH vs Do53 ISP'ers præstationstabel

Test af ydeevne for indlæsning af webside DoH vs Do53 websides indlæsningseffektivitet

DoH vs Do53 websides indlæsningseffektivitet

Sådan aktiveres eller deaktiveres DNS-over-HTTPS på Windows 10

Windows 10 Version 2004 leveres med DNS-over-HTTPS aktiveret som standard. Så når den næste version af Windows 10 er frigivet, og du opgraderer til den nyeste version, er det ikke nødvendigt at aktivere DoH manuelt.

Men hvis du bruger Windows 10 Insider Preview, skal du aktivere DoH manuelt ved hjælp af følgende metoder:

Brug af Windows -registreringsdatabasen

  1. Gå til Kør -> regedit . Dette åbner Windows Registreringseditor.
  2. Åbn følgende registreringsnøgle:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
  3. Højreklik på Parametre mappe og vælg Ny-> DWORD (32-bit) Værdi.
  4. Navngiv det Aktiver AutoDoh .
  5. Indstil værdien af ​​EnableAutoDoh -post til 2 .

Du skal genstarte computeren, før ændringerne træder i kraft.

Bemærk, at denne ændring kun træder i kraft, når du bruger de DNS-servere, der understøtter DNS-over-HTTPS. Nedenfor finder du en liste over offentlige DNS -udbydere, der understøtter DoH .

Tidligere versioner af Windows 10 inklusive version 1909 og 1903 understøtter ikke DoH som standard.

Brug af gruppepolitik

Jeg beholder dette afsnit til fremtidig brug. Lige nu er der ingen gruppepolitiske regler for DNS-over-HTTPS. Vi udfylder trinene, når Microsoft gør dem tilgængelige til Windows 10 Version 2004.

Brug af PowerShell (kommandolinje)

Jeg beholder dette afsnit til fremtidig brug. Hvis Microsoft giver en måde at aktivere eller deaktivere DoH ved hjælp af kommandolinjen, viser vi trinene her.

Sådan aktiveres eller deaktiveres DNS-over-HTTPS i dine browsere

Nogle applikationer understøtter omgåelse af den systemkonfigurerede DNS-server og bruger DNS-over-HTTPS i stedet. Næsten alle moderne browsere enten enten allerede understøtter DoH eller vil understøtte protokollen i den nærmeste fremtid.

Aktiver DNS-over-HTTPS i Google Chrome

  1. Åbn Google Chrome, og gå til følgende webadresse:
    chrome://settings/security
  2. Under Avanceret sikkerhed , skifte til Brug sikker DNS .
  3. Efter aktivering af sikker DNS vil der være to muligheder:
    • Med din nuværende tjenesteudbyder
    • Med Googles anbefalede serviceudbydere

Du kan vælge, hvad der passer dig. Den anden mulighed overskrider dit systems DNS-indstillinger.

Aktiver sikker DNS i Google Chrome

For at deaktivere DoH skal du blot skifte Brug sikker DNS indstillinger til af .

Aktiver DNS-over-HTTPS i Mozilla Firefox

  1. Åbn Firefox, og gå til følgende URL:
    about:preferences
  2. Under generel , gå til Netværks indstillinger og klik på Indstillinger knap. Eller bare tryk på OG tastatur for at åbne indstillinger.
  3. Rul til bunden og kontrollere Aktiver DNS via HTTPS .
  4. Fra rullemenuen kan du vælge din foretrukne sikre DNS-server.

Aktiver DNS-over-HTTPS i Microsoft Edge

  1. Åbn Microsoft Edge, og gå til følgende URL:
    edge://flags/#dns-over-https
  2. Vælg Aktiveret fra rullemenuen ved siden af Sikre DNS -opslag .
  3. Genstart browseren, så ændringerne træder i kraft.

Aktiver DNS-over-HTTPS i Opera Browser

  1. Åbn Opera -browseren og gå til Indstillinger (Alt + P).
  2. Udvide Fremskreden i menuen til venstre.
  3. Under System, skifte til Brug DNS-over-HTTPS i stedet for systemets DNS-indstillinger .
  4. Genstart browseren, så ændringerne træder i kraft.

De sikre DNS-indstillinger trådte ikke i kraft, før jeg deaktiverede Operaens indbyggede VPN-service. Hvis du har problemer med at aktivere DoH i Opera, kan du prøve at deaktivere VPN.

Aktiver DNS-over-HTTPS i Vivaldi Browser

  1. Åbn Vivaldi -browseren, og gå til følgende URL:
    vivaldi://flags/#dns-over-https
  2. Vælg Aktiveret fra rullemenuen ved siden af Sikre DNS -opslag .
  3. Genstart browseren, så ændringerne træder i kraft.

Sådan aktiveres DNS-over-HTTPS i Android

Android 9 Pie understøtter DoH -indstillinger. Du kan følge nedenstående trin for at aktivere DoH på din Android -telefon:

  1. Gå til Indstillinger → Netværk og internet → Avanceret → Privat DNS .
  2. Du kan enten indstille denne indstilling til Auto, eller du kan selv angive en sikker DNS -udbyder.

Hvis du ikke kan finde disse indstillinger på din telefon, kan du følge nedenstående trin:

  1. Download og åbn QuickShortcutMaker -appen fra Google Play Butik.
  2. Gå til Indstillinger, og tryk på:
    com.android.settings.Settings$NetworkDashboardActivity

Dette fører dig direkte til siden med netværksindstillinger, hvor du finder den sikre DNS -indstilling.

Hvordan kontrollerer du, om du bruger DNS-over-HTTPS?

Der er to måder at kontrollere, om DoH er aktiveret korrekt til din enhed eller browseren.

Den nemmeste måde at kontrollere dette på er ved at gå til denne tjekside til cloudflare -browsingoplevelse . Klik på Tjek min browser knap.

Under Sikker DNS får du følgende besked, hvis du bruger DoH: | _+_ |

Hvis du ikke bruger DoH, får du følgende besked: | _+_ |

Windows 10 Version 2004 giver også mulighed for at overvåge port 53-pakker i realtid. Dette vil fortælle os, om systemet bruger DNS-over-HTTPS eller den ældre Do53.

  1. Åbn PowerShell med administrative rettigheder.
  2. Kør følgende kommandoer:
    pktmon filter remove
    Dette fjerner alle aktive filtre, hvis nogen.
    pktmon filter add -p 53
    Dette tilføjer port 53, der skal overvåges og logges.
    pktmon start --etw -m real-time
    Dette starter med overvågning i realtid af port 53.

Hvis du ser meget trafik blive vist på listen, betyder det, at den ældre Do53 bruges i stedet for DoH.

Bemærk, at ovennævnte kommandoer kun fungerer i Windows 10 Version 2004. Ellers giver det dig en fejl: Ukendt parameter 'real-time'

Liste over navneservere, der understøtter DoH

Her er listen over DNS-tjenesteudbydere, der understøtter DNS-over-HTTPS.

Udbyder Værtsnavn IP-adresse
AdGuarddns.adguard.com176.103.130.132
176.103.130.134
AdGuarddns-family.adguard.com176.103.130.132
176.103.130.134
CleanBrowsingfamily-filter-dns.cleanbrowsing.org185.228.168.168
185.228.169.168
CleanBrowsingadult-filter-dns.cleanbrowsing.org185.228.168.10
185.228.169.11
Cloudflareen.one.one.one
1dot1dot1dot1.cloudflare-dns.com
1.1.1.1
1.0.0.1
Cloudflaresecurity.cloudflare-dns.com1.1.1.2
1.0.0.2
Cloudflarefamily.cloudflare-dns.com1.1.1.3
1.0.0.3
Googledns.google
google-public-dns-a.google.com
google-public-dns-b.google.com
8.8.8.8
8.8.4.4
NæsteDNSdns.nextdns.io45,90,28,0
45.90.30.0
OpenDNSdns.opendns.com208.67.222.222
208.67.220.220
OpenDNSfamilyshield.opendns.com208.67.222.123
208.67.220.123
OpenDNSsandbox.opendns.com208.67.222.2
208.67.220.2
Quad9dns.quad9.net
rpz-public-resolver1.rrdns.pch.net
9.9.9.9
149,112,112,112

Selvom DNS-over-HTTPS gør internettet mere sikkert og bør implementeres ensartet på tværs af nettet (som i tilfælde af HTTPS), vil denne protokol give mareridt til sysadmins.

Sysadmins skal finde måder at blokere offentlige DNS-tjenester på, samtidig med at deres interne DNS-servere kan bruge DoH. Dette skal gøres for at holde det nuværende overvågningsudstyr og restriktionspolitikker aktive på tværs af organisationen.

Hvis jeg har savnet noget i artiklen, så lad mig det vide i kommentarerne herunder. Hvis du kunne lide artiklen og lærte noget nyt, kan du dele den med dine venner og på sociale medier og abonnere på vores nyhedsbrev.