Android skifter til 'DNS over TLS', så udbydere ikke kan følge med i web-forbrug

Illustration: Android
Det tyder på, at der kommer et ekstra krypteringslag på din onlinetrafik, der gør det sværere for udbydere at følge med i, hvad du laver på din telefon.

Android ser ud til at højne muligheden for at have et privatliv på nettet, uden at internetudbydere kan følge med i, hvad vi laver online.

Når du går ind på hjemmesider og skriver en URL, så bliver teksten oversat gennem en DNS (Domain Name Server), der peger på en hjemmesides IP-adresse. Det har internetudbydere kunnet følge med i gennem UDP- eller TCP-protokoller.

Det er netop her, DNS over TLS skal gøre en forskel, skriver xda developers.

Krypteret forbindelse

Selvom den nye mulighed ikke giver øjeblikkelig anonymitet på nettet, gør den det meget sværere for udbydere at følge med, da DNS-forespørgsler bliver krypteret på samme niveau som HTTPS, hvilket vil sige, at det ikke bør være muligt at se eller logge, hvilke sider du besøger.

Det fungerer kun, hvis DNS'en, du bruger, understøtter DNS over TLS, men det gør bl.a. Googles DNS allerede.

Det er værd at bemærke, at Googles DNS i den forbindelse vil have adgang til din DNS-historik, hvilket giver en række oplysninger om IP-adresser, men som reddit-brugeren linksus påpeger, vil meget af internettrafikken ikke kunne afkodes præcist, da meget internettrafik går gennem cloudflare, så du ikke nødvendigvis kan pege en IP-adresse direkte til en specifik server.

Det lader til, at der bliver tilføjet DNS over TLS til Android Open Source Project. Android-brugere får under 'Developer Options' muligheden for at slå DNS over TLS til eller fra - og siden det ligger i den kategori, kunne man forestille sig, at det er i en testfase, så det senere vil blive implementeret i fremtidige versioner af platformen.

Et skridt på vejen

Er man nervøs for, hvem der kan følge med i ens færden på nettet, så er det her et skridt i den rigtige retning, men det løser ikke hele problematikken.

Vælger du at benytte DNS over TLS via en anden DNS (f.eks. Googles), så vil de få adgang til din DNS-historik, hvilket vil være krypteret, men de vil stadig kunne se DNS-trafikken.

Ønsker du, at din trafik er fuldstændig skjult for din udbyder, kan du køre dine DNS-forespørgsler gennem en VPN-forbindelse til en DNS over TLS-server, foreslår xda developers - så skal du dog have tillid til din VPN-udbyder.

Under alle omstændigheder bliver du nødt til at lægge din tillid et sted: hos din internetudbyder, Google eller en VPN-udbyder - du får ikke internettet for dig selv.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Søren Mors

Det er naturligvis fint at min ISP ikke kan se hvilke dns adresser jeg slår op.

Det jeg tænker er bare at næsten alle DNS opslag bliver fulgt af oprettelsen af en TCP forbindelse til det site der lige er blevet slået op. Og det kan ISP'en så godt se.

Overser jeg noget, eller er der væsentlige anvendelser af DNS der ikke medfører at den udleverede IP adresse bruges til at oprette en forbindelse?

  • 2
  • 0
Michael Fjeldsted

Overser jeg noget, eller er der væsentlige anvendelser af DNS der ikke medfører at den udleverede IP adresse bruges til at oprette en forbindelse?

I forhold til overvågning, så er domænet mere interessant end ip'en bag domænet. Domænet vil være skjult hvis alt kører https/tls.
At du efter et dns opslag opretter forbindelse til Cloudflare, Amazon, Azure eller Google fortæller ikke ret meget om hvad du besøger.

  • 1
  • 1
Martin Kofoed

Er der noget til hinder for, at ISP'erne bare vælger at agere Man in the Middle med terminering af krypto hos sig selv? Så det certifikat, din android-device ser, er ISP'ens egen? Det gør firmaets proxyserver, så det kan en proxy hos ISP'erne vel i teorien også?

  • 0
  • 1
Klavs Klavsen

Apropos det - så kan jeg se derhjemme, at selvom jeg har min egen DHCP (og dns ) server - så bruger vores android og IOS devices ikke den lokale DNS.. Hvilket jo IMHO øger tracking af mine enheder væsentligt :(

Og min crap wifi-router kunne ikke blokere for udgående DNS (med enkelt ip undtaget) - så jeg skal lige have erstattet den med en der kan, for at se om de så ikke skifter til min interne DNS :)

  • 0
  • 0
Jesper Nielsen

Er der noget til hinder for, at ISP'erne bare vælger at agere Man in the Middle med terminering af krypto hos sig selv?

Ja, heldigvis.

Det gør firmaets proxyserver, så det kan en proxy hos ISP'erne vel i teorien også?

Det kan firmaet kun gøre, fordi de har fuld kontrol over deres egne computere og dermed kan installere deres eget rodcertifikat på klienterne. Dermed stoler computerne på det/de certifikater, virksomheden selv udsteder.

En ISP har ikke samme mulighed for at installere rodcertifikater på kundernes computere. Kundernes browsere ville derfor afvise de certifikater, som udbyderen udsteder, og advare kunderne om, at der er noget galt.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize