Android skifter til 'DNS over TLS', så udbydere ikke kan følge med i web-forbrug

23. oktober 2017 kl. 10:4311
Android skifter til 'DNS over TLS', så udbydere ikke kan følge med i web-forbrug
Illustration: Android.
Det tyder på, at der kommer et ekstra krypteringslag på din onlinetrafik, der gør det sværere for udbydere at følge med i, hvad du laver på din telefon.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Android ser ud til at højne muligheden for at have et privatliv på nettet, uden at internetudbydere kan følge med i, hvad vi laver online.

Når du går ind på hjemmesider og skriver en URL, så bliver teksten oversat gennem en DNS (Domain Name Server), der peger på en hjemmesides IP-adresse. Det har internetudbydere kunnet følge med i gennem UDP- eller TCP-protokoller.

Det er netop her, DNS over TLS skal gøre en forskel, skriver xda developers.

Krypteret forbindelse

DNS over TLS

DNS (Domain Name Server) oversætter URL'er til IP-adresser.

TLS (Transport Layer Security) krypterer forbindelsen.

DNS over TLS de to begreber, så du kan surfe på nettet uden at andre kan se, hvor du har været

Artiklen fortsætter efter annoncen

Selvom den nye mulighed ikke giver øjeblikkelig anonymitet på nettet, gør den det meget sværere for udbydere at følge med, da DNS-forespørgsler bliver krypteret på samme niveau som HTTPS, hvilket vil sige, at det ikke bør være muligt at se eller logge, hvilke sider du besøger.

Det fungerer kun, hvis DNS'en, du bruger, understøtter DNS over TLS, men det gør bl.a. Googles DNS allerede.

Det er værd at bemærke, at Googles DNS i den forbindelse vil have adgang til din DNS-historik, hvilket giver en række oplysninger om IP-adresser, men som reddit-brugeren linksus påpeger, vil meget af internettrafikken ikke kunne afkodes præcist, da meget internettrafik går gennem cloudflare, så du ikke nødvendigvis kan pege en IP-adresse direkte til en specifik server.

Det lader til, at der bliver tilføjet DNS over TLS til Android Open Source Project. Android-brugere får under 'Developer Options' muligheden for at slå DNS over TLS til eller fra - og siden det ligger i den kategori, kunne man forestille sig, at det er i en testfase, så det senere vil blive implementeret i fremtidige versioner af platformen.

Et skridt på vejen

Er man nervøs for, hvem der kan følge med i ens færden på nettet, så er det her et skridt i den rigtige retning, men det løser ikke hele problematikken.

Vælger du at benytte DNS over TLS via en anden DNS (f.eks. Googles), så vil de få adgang til din DNS-historik, hvilket vil være krypteret, men de vil stadig kunne se DNS-trafikken.

Ønsker du, at din trafik er fuldstændig skjult for din udbyder, kan du køre dine DNS-forespørgsler gennem en VPN-forbindelse til en DNS over TLS-server, foreslår xda developers - så skal du dog have tillid til din VPN-udbyder.

Under alle omstændigheder bliver du nødt til at lægge din tillid et sted: hos din internetudbyder, Google eller en VPN-udbyder - du får ikke internettet for dig selv.

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
23. oktober 2017 kl. 18:14

Jo undrede mig også over hvorfor der ikke var nogen der nævnte elefanten i rummet.

8
23. oktober 2017 kl. 17:19

Skulle vi ikke lige nævne at "sideeffekten" af DNS over TCP er at Google nu er garanteret en kopi af alle DNS opslag ?

6
23. oktober 2017 kl. 15:13

Er der noget til hinder for, at ISP'erne bare vælger at agere Man in the Middle med terminering af krypto hos sig selv?

Ja, heldigvis.

Det gør firmaets proxyserver, så det kan en proxy hos ISP'erne vel i teorien også?

Det kan firmaet kun gøre, fordi de har fuld kontrol over deres egne computere og dermed kan installere deres eget rodcertifikat på klienterne. Dermed stoler computerne på det/de certifikater, virksomheden selv udsteder.

En ISP har ikke samme mulighed for at installere rodcertifikater på kundernes computere. Kundernes browsere ville derfor afvise de certifikater, som udbyderen udsteder, og advare kunderne om, at der er noget galt.

5
23. oktober 2017 kl. 14:50

Apropos det - så kan jeg se derhjemme, at selvom jeg har min egen DHCP (og dns ) server - så bruger vores android og IOS devices ikke den lokale DNS.. Hvilket jo IMHO øger tracking af mine enheder væsentligt :(

Og min crap wifi-router kunne ikke blokere for udgående DNS (med enkelt ip undtaget) - så jeg skal lige have erstattet den med en der kan, for at se om de så ikke skifter til min interne DNS :)

3
23. oktober 2017 kl. 13:54

Er der noget til hinder for, at ISP'erne bare vælger at agere Man in the Middle med terminering af krypto hos sig selv? Så det certifikat, din android-device ser, er ISP'ens egen? Det gør firmaets proxyserver, så det kan en proxy hos ISP'erne vel i teorien også?

2
23. oktober 2017 kl. 13:13

Overser jeg noget, eller er der væsentlige anvendelser af DNS der ikke medfører at den udleverede IP adresse bruges til at oprette en forbindelse?

I forhold til overvågning, så er domænet mere interessant end ip'en bag domænet. Domænet vil være skjult hvis alt kører https/tls. At du efter et dns opslag opretter forbindelse til Cloudflare, Amazon, Azure eller Google fortæller ikke ret meget om hvad du besøger.

1
23. oktober 2017 kl. 11:48

Det er naturligvis fint at min ISP ikke kan se hvilke dns adresser jeg slår op.

Det jeg tænker er bare at næsten alle DNS opslag bliver fulgt af oprettelsen af en TCP forbindelse til det site der lige er blevet slået op. Og det kan ISP'en så godt se.

Overser jeg noget, eller er der væsentlige anvendelser af DNS der ikke medfører at den udleverede IP adresse bruges til at oprette en forbindelse?