Hvilken DNS-krypteringsprotokoll beskytter nettrafikken din best?

Domain Name System (DNS) anses av mange for å være telefonboken til Internett, og konverterer domenenavn til datalesbar informasjon, for eksempel IP-adresser .

Hver gang du skriver et domenenavn i adressefeltet, konverterer DNS det automatisk til den tilsvarende IP-adressen. Nettleseren din bruker denne informasjonen til å hente data fra opprinnelsesserveren og laste inn nettsiden.

Men cyberkriminelle kan ofte overvåke DNS-trafikk, noe som gjør kryptering nødvendig for å holde nettsurfingen din privat og sikker.

Det er flere DNS-krypteringsprotokoller i bruk i dag. Disse krypteringsprotokollene kan brukes til å forhindre cybersnoking ved å kryptere trafikk i HTTPS-protokollen over en TLS-forbindelse (Transport Layer Security).

1. DNSCrypt

DNSCrypt er en nettverksprotokoll som krypterer all DNS-trafikk mellom en brukers datamaskin og den offentlige navneserveren. Protokollen bruker offentlig nøkkelinfrastruktur (PKI) for å bekrefte autentisiteten til DNS-serveren og klientene.

Den bruker to nøkler, offentlig nøkkel og privat nøkkel, for å autentisere kommunikasjon mellom klient og server. Når en DNS-spørring startes, krypterer klienten spørringen ved hjelp av serverens offentlige nøkkel.

Den krypterte spørringen sendes deretter til serveren, som dekrypterer spørringen ved hjelp av sin private nøkkel. På denne måten sikrer DNSCrypt at kommunikasjon mellom klient og server alltid er autentisert og kryptert.

DNSCrypt er en relativt gammel nettverksprotokoll. Den har i stor grad blitt erstattet av DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH) på grunn av den bredere støtten og sterkere sikkerhetsgarantier gitt av disse nyere protokollene. .

2. DNS over TLS

DNS-over-TLS krypterer DNS-spørringene dine ved hjelp av Transport Layer Security (TLS). TLS sikrer at DNS-spørringene dine er kryptert ende-til-ende, og forhindrer Man-in-the-Middle (MITM)-angrep .

Når du bruker DNS-over-TLS (DoT), sendes DNS-spørringene dine til DNS-over-TLS-løseren i stedet for den ukrypterte løseren. DNS-over-TLS-resolveren dekoder DNS-søket ditt og sender det til den autoritative DNS-serveren på dine vegne.

Standardporten for DoT er TCP-port 853. Når du kobler til ved hjelp av DoT, utfører både klienten og resolveren et digitalt "håndtrykk". Klienten sender deretter DNS-spørringen sin over den krypterte TLS-kanalen til resolveren.

DNS-resolveren behandler spørringen, finner den tilsvarende IP-adressen og sender svaret tilbake til klienten via en kryptert kanal. Klienten mottar det krypterte svaret, hvor det dekrypteres og klienten bruker IP-adressen for å koble til ønsket nettside eller tjeneste.

3. DNS over HTTPS

HTTPS er den sikre versjonen av HTTP som brukes for å få tilgang til nettsteder. I likhet med DNS-over-TLS, krypterer også DNS-over-HTTPS (DoH) all informasjon før den sendes over nettverket.

Selv om målet er det samme, er det noen grunnleggende forskjeller mellom DoH og DoT. For det første sender DoH alle krypterte spørringer over HTTPS i stedet for å opprette en TLS-tilkobling direkte for å kryptere trafikken din.

For det andre bruker den port 403 for generell kommunikasjon, noe som gjør det vanskelig å skille fra generell nettrafikk. DoT bruker port 853, som gjør det mye enklere å identifisere trafikk fra den porten og blokkere den.

DoH har sett bredere bruk i nettlesere som Mozilla Firefox og Google Chrome, ettersom den utnytter den eksisterende HTTPS-infrastrukturen. DoT brukes oftere av operativsystemer og spesialiserte DNS-løsere, i stedet for å bli integrert direkte i nettlesere.

De to hovedårsakene til at DoH er mer utbredt er fordi det er mye lettere å integrere i nåværende nettlesere, og enda viktigere, det blander seg sømløst med vanlig nettrafikk, noe som gjør blokkering mye vanskeligere.

4. DNS over QUIC

Sammenlignet med de andre DNS-krypteringsprotokollene på denne listen, er DNS-over-QUIC (DoQ) relativt ny. Dette er en fremvoksende sikkerhetsprotokoll som sender DNS-spørringer og svar over QUIC-transportprotokollen (Quick UDP Internet Connections).

Mesteparten av Internett-trafikken i dag er basert på Transmission Control Protocol (TCP) eller User Datagram Protocol (UDP), med DNS-spørringer ofte sendt over UDP. QUIC-protokollen ble imidlertid født for å overvinne noen av ulempene med TCP/UDP, og bidra til å redusere ventetiden og forbedre sikkerheten.

QUIC er en relativt ny transportprotokoll utviklet av  Google , designet for å gi bedre ytelse, sikkerhet og pålitelighet enn tradisjonelle protokoller som TCP og TLS. QUIC kombinerer funksjoner fra både TCP og UDP og har innebygd kryptering som ligner på TLS.

Fordi det er nyere, tilbyr DoQ flere fordeler i forhold til protokollene nevnt ovenfor. For det første tilbyr DoQ raskere ytelse, redusert total ventetid og forbedrede tilkoblingstider. Dette resulterer i raskere DNS-oppløsning (tid for DNS å løse IP-adresser). Til syvende og sist betyr dette at nettsider blir servert til deg raskere.

Enda viktigere er at DoQ er mer motstandsdyktig mot tap av data sammenlignet med TCP og UDP, ettersom den kan gjenopprette fra tapte pakker uten å kreve full reoverføring, i motsetning til protokoller basert på TCP.

Videre er det også mye enklere å migrere tilkoblinger ved hjelp av QUIC. QUIC kapsler inn flere tråder i en enkelt tilkobling, reduserer antallet løkker som kreves for en tilkobling og forbedrer dermed ytelsen. Dette kan også være nyttig når du bytter mellom WiFi og mobilnettverk.

QUIC er fortsatt ikke mye brukt sammenlignet med andre protokoller. Men selskaper som Apple, Google og Meta bruker allerede QUIC, og lager ofte sine egne versjoner (Microsoft bruker MsQUIC for all sin SMB-trafikk), noe som lover godt for fremtiden.

Nye teknologier forventes å fundamentalt endre måten vi får tilgang til nettet på. For eksempel utnytter mange selskaper nå blockchain-teknologier for å tilby sikrere domenenavngivningsprotokoller, som HNS og Unstoppable Domains.