Udgivet i På Nettet

Hvad er DNS-over-HTTPS, og bør jeg slå det til?

Af Itforum.dk

Har du nogensinde tænkt over, hvad der egentlig sker, når du skriver en webadresse og trykker Enter? Bag kulissen bliver din forespørgsel som regel sendt ud på nettet fuldstændig ukrypteret - som et postkort alle på ruten kan læse med på. Det er her den relativt nye teknologi DNS-over-HTTPS (DoH) kommer ind i billedet og lover at pakke dine “postkort” ind i en sikker kuvert.

De fleste af os har for længst vænnet os til “https://” i adressefeltet, men selv det mest låste hængelås-ikon beskytter ikke selve opslaget af domænenavnet. Traditionel DNS er stadig et åbent vindue, som hackere, annoncører - og måske også din internetudbyder - kan kigge ind ad. DoH vil lukke vinduet ved at sende din DNS-trafik gennem den samme krypterede tunnel som resten af din webtrafik.

Men er DoH den ultimative løsning på alle netværksbekymringer? Og hvad med bagsiden af medaljen - centralisering, logfiler og kompatibilitet? I denne artikel får du både fordele, ulemper og en hurtig opsætningsguide, så du kan beslutte, om DoH skal være din nye standard - eller om du bør vente.

Spænd sikkerhedsbæltet, dyk ned i bytestrømmen og find ud af, om DNS-over-HTTPS er netop den opgradering, dit digitale privatliv har ventet på.

Hvad er DNS-over-HTTPS (DoH)?

Når du skriver itforum.dk i adresselinjen, skal din enhed først oversætte navnet til en IP-adresse, som netværket kan forstå. Det gør den via Domain Name System (DNS), der som internettets telefonbog svarer på spørgsmål af typen “hvilken IP hører til dette domænenavn?”. Traditionelt foregår disse forespørgsler ukrypteret over port 53, så alle på vejen - caféens wifi-ejere, din internetudbyder eller en angriber - kan se hvilke sider du slår op, og i værste fald omdirigere dig til en falsk adresse (DNS-spoofing).

Med DNS-over-HTTPS (DoH) pakkes selve DNS-spørgsmålet ind i en almindelig HTTPS-forbindelse på port 443, præcis som når du loader en webside. Trafikken bliver derfor skjult i den krypterede strøm af data, som browseren allerede sender frem og tilbage, hvilket gør det markant sværere at aflytte eller manipulere. Sammenlignet med den alternative løsning DNS-over-TLS (DoT) - som ”bare” krypterer DNS-trafikken i en separat kanal på port 853 - skiller DoH sig ud ved at glide ind i den eksisterende webtrafik og dermed lettere passerer gennem firewalls og proxyer.

TeknologiPortKrypteringSynlighed for netværk
Klassisk DNS53/UDPIngenFuldstændig
DNS-over-TLS853/TCPJa (TLS)Let genkendelig
DNS-over-HTTPS443/TCPJa (HTTPS)Indlejret i webtrafik

DoH kan aktiveres flere steder alt efter behov:

  • Browser-niveau: Firefox, Chrome, Edge, Brave og Opera tilbyder indbygget DoH, der gælder udelukkende for denne browser.
  • Operativsystem: Windows 10/11, Android (”Private DNS”), iOS/iPadOS/macOS via profiler eller tredjeparts-apps, samt de fleste Linux-distributioner understøtter DoH globalt for hele maskinen.
  • Router/gateway: Mange moderne routere eller firmwares som OpenWrt, pfSense og OPNsense kan sende alle husstandens DNS-slag via DoH.
Kendte, gratis udbydere tæller bl.a. Cloudflare (https://1.1.1.1/dns-query), Google Public DNS, Quad9, NextDNS, AdGuard og Cisco Umbrella; dertil kommer danske eller virksomhedsinterne løsninger for dem, der ønsker lokal jurisdiktion eller skræddersyede politikker.

Fordele: Privatliv, sikkerhed og integritet

Når du besøger en webside, sendes der først en DNS-forespørgsel, der i klartekst spørger “hvor bor itforum.dk?”. Alle på netværket - café-wifi, hotelrouteren eller din internetudbyder - kan opsnappe denne pakke og logge din aktivitet. Med DNS-over-HTTPS pakkes den samme forespørgsel ind i en almindelig, krypteret HTTPS-forbindelse til den valgte DoH-udbyder (f.eks. https://1.1.1.1/dns-query). Udefra ligner det blot endnu en krypteret webforbindelse, og indholdet er skjult for nysgerrige blikke. Resultatet er et markant løft i privatliv - især på åbne eller delt netværk, hvor klassisk DNS kan snuses af alle med et billigt værktøj som Wireshark.

Ud over fortrolighed giver DoH også bedre integritet. Fordi forespørgslen kører i en TLS-tunnel, er det svært for en angriber at ændre svaret undervejs, hvilket ellers er kernen i angreb som DNS-spoofing, pharming og visse former for netcensur. Det bliver betydeligt mere besværligt at:

  • Omdirigere dig til en falsk login-side
  • Indskyde ondsindede annoncer eller malwaredomæner
  • Blokere udvalgte domæner ved blot at filtrere eller erstatte DNS-svar
Dermed reduceres risikoen for man-in-the-middle-angreb og utilsigtet filtrering, uden at du skal rode med VPN eller ekstra software.

DoH er dog ikke et usynligt skjold for al din nettrafik. Selve indholdet af det website du henter, hverken krypteres eller anonymiseres yderligere - det sker stadig via den normale HTTPS-forbindelse (hvis siden understøtter det). Din IP-destination forbliver synlig, og udbydere kan stadig blokere et helt IP-net eller bruge SNI-feltet i TLS til filtrering. Har du forældrekontrol eller virksomhedsfiltrering, kan DoH derfor omgå nogle, men ikke alle, spærringer - og det kan skabe konflikter, hvis IT-afdelingen forventer at kunne se eller omskrive DNS-trafikken.

Summen af gevinsterne er altså: bedre privatliv, større modstandsdygtighed over for manipulation og et lille ekstra lag sikkerhed. For den gennemsnitlige hjemme- eller mobilbruger giver DoH ro i maven på åbne netværk, mens den professionelle bør afveje fordelene mod lokale politikker og krav til netværkskontrol. Kombineret med HTTPS-Everywhere, opdateret software og sund skepsis er DoH et let tilgængeligt skridt i den rigtige retning - bare husk, at det ikke er en komplet erstatning for VPN, firewall eller andre sikkerhedsforanstaltninger.

Ulemper og faldgruber du skal kende

Selvom DNS-over-HTTPS lover mere privatliv, flytter du i praksis din tillid fra din lokale internetudbyder til et lille antal globale resolver-tjenester. Det skaber en centralisering, hvor Cloudflare, Google, Quad9 m.fl. ender med at se en betydelig del af verdens DNS-trafik. Overvej derfor: 1) Logningspolitik - gemmer udbyderen rå forespørgsler, og hvor længe? 2) Forretningsmodel - sælges metadata videre, finansieres tjenesten af annonceprofilering eller donationer? 3) Transparens - findes der offentlige audits, sikkerheds-certificeringer (f.eks. ISO 27001) og mulighed for anonymiserede nøgler (Oblivious DoH)? Tjenester som NextDNS og Quad9 markedsfører sig med minimal logning, mens Googles 8.8.8.8 lagrer metadata i 24-48 timer; vælg ud fra din egen risikovillighed.

I virksomheds- og campusnet kan DoH være en decideret showstopper, fordi det underminerer lokal DNS-styring:

  • Interne værtsnavne (split-horizon) oversættes pludselig ikke, når klienten spørger en ekstern DoH-server.
  • Sikkerheds- og indholdsfiltre, der normalt inspicerer DNS, omgås - en udfordring for compliance.
  • Captive portals på hoteller/flypladser mislykkes, fordi omdirigeringen af http://neverssl.com aldrig når at slå op i det lokale DNS. Resultatet er “ingen internet”.
  • Fejlsøgning bliver sværere: pakke­captures viser kun krypterede HTTPS-strømme, så netværksfolk mister et vigtigt diagnostisk signal.
Mange organisationer ender med aktivt at blokere UDP/TCP port 53 og de velkendte DoH-endepunkter for at håndhæve deres politikker.

Endelig er der ydeevne og jurisdiktion: Et ekstra TLS-håndtryk og længere geografisk hop kan forøge latenstid; test med https://1.1.1.1/help eller dnsleaktest.com for at måle. Vælger du en resolver i USA (eller EU), underlægges dine forespørgsler henholdsvis FISA 702 eller GDPR - to vidt forskellige regelsæt for adgang til data. Svenske Mullvad og tyske Digitale Gesellschaft tilbyder europæisk DoH; Cloudflare har datterselskaber i flere regioner. Tjek derfor • Serverlokation • Lovgivning • Transparensrapporter før du slår DoH til på router, mobil eller browser.

Bør du slå det til? Valg af udbyder og hurtig opsætning

Anbefalingen i korte træk: For de fleste privat­brugere giver DNS-over-HTTPS et solidt ekstra lag af privatliv og sikkerhed - især når du sidder på café-wifi eller deler mobil­data. Har du derimod et virksomhedsnet, et hjemmenet med forældre­filtrering eller andre former for DNS-baseret politik, bør du først afklare, om DoH saboterer disse kontroller. Enkelte routere, firewall-bokse og VPN-klienter kan også allerede bruge egen DNS - her kan et ekstra DoH-lag skabe fejl, så test før du ruller ud til hele husstanden. Sådan vælger du udbyder:

  • Privatliv & logning: Læs politikken; Cloudflare lover sletning efter 24 t, mens Google gemmer “anonymiserede” data længere.
  • Jurisdiktion: Spørg dig selv, om amerikansk (Cloudflare/Google), schweizisk (Quad9) eller europæisk (NextDNS → EU-cluster) lovgivning passer dig bedst.
  • Filtrering: Ønsker du automatisk blokering af malware og phishing? Vælg Quad9 eller NextDNS; vil du have “rå” svar, så vælg Cloudflare eller Google.
  • Performance: Tjek responstid til nærmeste PoP via f.eks. https://1.1.1.1/help eller https://dnsperf.com.
UdbyderPrimær DoH-adresseLogpolitikEkstra features
Cloudflarehttps://cloudflare-dns.com/dns-querySlettet ≤ 24 tFamilies (filter) & Warp VPN
Googlehttps://dns.google/dns-queryKorttids­log, anonymiseretIngen filtrering
Quad9https://dns.quad9.net/dns-queryIngen PII-logMalware-blok
NextDNSPersonlig URLValgfri lognings­periodeAd/malware-filter, statistik
Hurtig opsætning:
  • Firefox: Indstillinger → Privatliv & sikkerhed → Aktiver “DNS over HTTPS” → vælg udbyder eller “Tilpasset”.
  • Chrome/Edge: Indstillinger → Privacy & Security → Security → “Use secure DNS” → vælg “With” og udbyder.
  • Windows 11/10: Settings → Network & Internet → Adapter → DNS Settings → “Encrypted (DNS over HTTPS)” → indtast IPv4/IPv6 + DoH-skabelon.
  • Android 9+: Settings → Network & Internet → Private DNS → “Private DNS provider hostname” → fx dns.quad9.net.
  • iOS/macOS: Brug 1.1.1.1- eller NextDNS-app, eller installer konfig-profil med DoH-endpoints.
  • Router: Kig efter “DNS over HTTPS / TLS” i firmware; på OpenWRT kan stubby eller https-dns-proxy sende alle klienter gennem samme DoH-forbindelse.
Verifikation & fejlfinding: Besøg 1.1.1.1/help eller dnsleaktest.com; her skal “Using DNS over HTTPS” og den valgte udbyder fremgå. Oplever du langsomme opslag, så ping udbyderens IP, skift til nærmeste PoP, eller prøv DoT i stedet. Husk også captive portals: de færreste hotspot-login-sider virker, før du midlertidigt slår DoH fra - hold derfor styr på genvejen i browser/OS til at deaktivere funktionen hurtigt.