DNS-over-HTTPS (DoH): hva det er og betyr for deg
DNS-over-HTTPS (DoH) sender DNS-spørringer kryptert over HTTPS i stedet for ukryptert UDP. Lær hva det betyr for personvern, sikkerhet og nettverksadministrasjon.
Tradisjonelt sendes DNS-spørringer ukryptert over UDP – noe som betyr at internettleverandøren din, nettverksleverandøren på kafeen, eller andre mellommenn i nettverkskjeden kan se akkurat hvilke domenenavn du slår opp. DNS-over-HTTPS (DoH) er en standard som setter en stopper for dette ved å kryptere DNS-trafikken på samme måte som vanlig nettstedstrafikk.
Hva er problemet med vanlig DNS?
Når du skriver eksempel.no i nettleseren, sender enheten din en spørring til en DNS-resolver – typisk en server hos internettleverandøren din eller en tredjepart. Denne spørringen sendes som klartekst over UDP port 53.
Det betyr i praksis at:
- Internettleverandøren kan se alle domener du besøker
- Andre på samme nettverk (på en åpen WiFi-hotspot) kan avlytte DNS-trafikken
- Nettverksenheter underveis kan manipulere svarene (DNS-forgiftning)
HTTPS-trafikken til nettstedet er kryptert, men DNS-oppslaget som foregikk rett før er det ikke. DoH tetter dette hullet.
Hvordan fungerer DNS-over-HTTPS?
DoH pakker DNS-spørringen inn i en vanlig HTTPS-forespørsel til en DoH-kompatibel resolver. Fra nettverkets perspektiv ser det ut som vanlig kryptert HTTPS-trafikk til port 443 – ikke som en DNS-spørring.
Flyten er enkel:
- Nettleseren eller operativsystemet vil slå opp
eksempel.no - I stedet for en ukryptert UDP-spørring til port 53 sender klienten en HTTPS-forespørsel til en DoH-resolver
- Resolveren utfører det vanlige DNS-oppslaget (rekursivt) og returnerer svaret kryptert over HTTPS
- Klienten mottar IP-adressen og kobler til nettstedet
DoH krypterer forbindelsen mellom klient og resolver – ikke selve oppslaget resolveren gjør videre i DNS-hierarkiet. Den autoritative navnetjeneren mottar fortsatt en vanlig DNS-spørring fra resolveren.
DoH vs. DoT – hva er forskjellen?
DoH er ikke den eneste standarden for kryptert DNS. DNS-over-TLS (DoT) bruker TLS-kryptering over en dedikert port (853) i stedet for HTTPS. Forskjellen i praksis:
| DNS-over-HTTPS (DoH) | DNS-over-TLS (DoT) | |
|---|---|---|
| Port | 443 (HTTPS) | 853 (dedikert) |
| Skjult i HTTPS-trafikk | Ja | Nei – synlig som DoT |
| Nettverksfiltrering | Vanskelig å blokkere | Kan blokkeres på port 853 |
| Vanlig bruk | Nettlesere | Operativsystemer |
Fra et personvernperspektiv er DoH vanskeligere for tredjeparter å blokkere, siden trafikken er uatskillelig fra vanlig HTTPS. Fra et nettverksadministrasjonsperspektiv er dette imidlertid en utfordring.
Hvem bruker DoH?
Nettlesere var tidlig ute: Mozilla Firefox aktiverte DoH som standard i USA i 2020, og Chrome/Edge tilbyr det som en innstilling. Nettleserne sender da DNS-spørringer til en konfigurerbar DoH-resolver (typisk Cloudflare 1.1.1.1 eller Google 8.8.8.8) i stedet for systemresolveren.
Operativsystemer begynner også å støtte DoH på systemnivå – Windows 11 har innebygd støtte for DoH-konfigurasjon i nettverksinnstillingene.
Hva betyr DoH for deg som domeneeier?
Som eier av et .no-domene er DoH primært relevant fra brukerperspektiv – det påvirker ikke direkte hvordan DNS-postene dine er konfigurert. DoH er en egenskap ved klienten og resolveren, ikke ved navnetjeneren for domenet ditt.
Det du bør kjenne til:
- Personvern for besøkende: Brukere som besøker nettstedet ditt kan bruke DoH til å skjule oppslaget fra internettleverandøren sin. Dette er i utgangspunktet et pluss for brukerens personvern.
- Bedriftsmiljøer: Hvis du administrerer et firmanettverk med interne DNS-filtre (f.eks. for å blokkere malware-domener), kan DoH i nettlesere omgå disse filtrene – noe som kan kreve egne tiltak.
- Ingen endring i DNS-konfigurasjon: Du setter fortsatt opp A-, MX-, TXT- og andre poster på vanlig måte via DNS-panelet hos Vymo.
Sikkerhetsaspekter
DoH løser én type problem (avlytting av DNS-trafikk), men introduserer andre vurderinger:
- Tillit til resolveren: Med DoH konsentreres DNS-trafikken til én kommersiell resolver. Du bytter fra å stole på internettleverandøren til å stole på f.eks. Cloudflare eller Google.
- Kompatibilitet med DNSSEC: DoH og DNSSEC er komplementære. DNSSEC sikrer integriteten til DNS-svarene (at de ikke er manipulert), mens DoH sikrer konfidensialiteten under transport. Begge er nyttige og kan brukes samtidig.
Oppsummering
DNS-over-HTTPS krypterer DNS-spørringer mellom klient og resolver over vanlig HTTPS, slik at tredjeparter ikke kan avlytte hvilke domener du slår opp. Det er en personvernforbedring for sluttbrukere og er allerede innebygd i de fleste moderne nettlesere.
For deg som administrerer et .no-domene endrer ikke DoH noe i DNS-konfigurasjonen din – men det er nyttig bakgrunnskunnskap når du forstår hva DNS er og hvordan infrastrukturen din henger sammen.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.