Microsoft kunngjorde i går at selskapet planlegger å utstyre Windows 10 med støtte for DNS over HTTPS (DoH). Dette er en ende-til-ende-kryptert variant av den vanlige DNS-protokollen (Domain Name Service) som blant annet brukes til å gjøre oppslag mellom domenenavn og IP-adresser.
I de aller fleste tilfeller er DNS-oppslagene ukrypterte i dag. Det vil si at dataene sendes i klartekst, og at de uten større vanskeligheter kan leses av alle som har tilgang til datatrafikken mellom DNS-serveren og brukerklienten. Det kan være mange.
I tillegg til å forhindre dette, kan kryptert DNS gjøre det vanskeligere for uvedkommende å forfalske DNS-informasjon underveis mellom serveren og klienten.
Først bare i nettleseren
Tidligere i høst ble det kjent at flere nettleserleverandører er i ferd med å bygge inn støtte for DoH i nettleseren. Men trolig er dette bare et midlertidig skritt for å presse fram operativsystemstøtte for krypterte DNS-forbindelser. Android har allerede slik støtte (fra og med versjon 9), men da for en alternativ protokoll, DNS over TLS.
Med appen Intra kan derimot de fleste Android-utgaver ta i bruk DoH.
Mye kritikk
Det er flere som har stilt seg kritiske til særlig DoH og mener at teknologien skaper flere problemer enn den løser. ZDNet har publisert en punktvis gjennomgang av denne kritikken.
Slik blir det sikrere for datamaskiner å be om tiden over internett
Rettighetshetsorganisasjonen EFF er ikke blant kritikerne. Tvert imot. Organisasjonen har på denne siden tatt for seg noe av kritikken og hva som kan gjøres for å motvirke de negative sidene ved DoH. Det mest sentrale er at internettleverandører og andre raskt må bidra til at brukerne får mange DoH-leverandører å velge mellom.
Microsoft har lagt seg på den samme linjen.
Foreløpige intensjoner
Det er så langt fullstendig ukjent når Windows 10 vil få DoH-støtte. Det kan virke som at arbeidet knapt har startet. Microsoft skriver i kunngjøringen at selskapet mener det er viktig at brukerne så tidlig som mulig får vite hva som er selskapets intensjoner på dette området.
Noen løsning å teste er derfor ikke tilgjengelig ennå.
Må bli enklere
I Windows og de fleste andre operativsystemer behøver ikke brukeren selv tenke på hvilken DNS-servere (det er vanlig at minst to er oppgitt) som skal benyttes. Dette settes automatisk opp straks enheten kobles til et nettverk, noe som bestemmes av internettleverandøren som til enhver tid benyttes, eller administratoren av det lokale nettverket.
Dette kan overstyres av brukerne selv, men trolig vet de færreste hvordan dette gjøres. Som oftest er jo DNS-oppsettet ganske godt gjemt nede i systeminnstillingene.
Kryptert DNS-støtte i nettleserne kan gi bedre personvern, men møter kraftig motstand
For brukere som ønsker å benytte kryptert DNS til enhver tid, vil det være nødvendig å sørge for dette selv. Derfor mener Microsoft at DNS-innstillingene i Windows 10 må gjøres lettere tilgjengelige, ikke bare i antallet trinn som må gjøres, men også ved at det ikke skal kreves noen spesialkunnskaper for å kontrollere innstillingene.
Microsoft oppgir at de er åpne for å legge til støtte for alternative løsninger i framtiden, inkludert den nevnte DNS over TLS. Denne protokollen benytter blant annet en egen nettverksport, noe som kan oppfattes som positivt eller negativt, helt avhengig av hvilken hatt man har på seg.
Serverprogramvare
For at mange skal begynne å tilby DNS over HTTPS-tjenester, er det nødt til å være god støtte for protokollen også på serversiden. På denne siden finnes det en del relevante ressurser, inkludert en liste med eksisterende tjenester og programvare med DoH-støtte.
En detaljert gjennomgang av hvordan en Linux-basert DoH-server kan sette opp, finnes på denne siden.
Advarer om økende trussel mot DNS-infrastrukturen
