Tilbake til bloggen
Under panseret·12 min lesing

DNS-over-HTTPS i 2026 — når det hjelper og når det skader

DoH krypterer oppslaget som oversetter «casperscloak.com» til «203.0.113.42.» Den ene endringen lukker tre reelle angrepsflater og bryter to legitime bruksscenarier — og den forskyver tillit fremfor å eliminere den. Det ærlige kartet over hva DoH faktisk gjør, hva det ikke gjør, og avveiningene leverandørene ikke skriver i markedsføringen.

Av Casper's Cloak Security Team

Kortversjonen: klassisk DNS sender spørringene dine — hvert «hva er IP-adressen til example.com?» — som klartekst-UDP som hvem som helst på nettverksbanen kan lese eller endre. DoH pakker disse spørringene inn i HTTPS, slik at den nettverksinterne observatøren ikke lenger ser domenenavn og ikke kan injisere falske svar. Det løser tre reelle problemer (ISP-spionasje på DNS, kaffebar-DNS-injeksjon, visse former for statlig DNS-sensur) og skaper to nye (foreldrekontroll og bedriftssikkerhet slutter å fungere, og du har nettopp fortalt din valgte DoH-leverandør hvert domene du besøker). DoH er verken «mer privat» eller «mindre privat» — det er annerledes privat, og spørsmålet er hvilken avveiing som passer din trusselmodell.

Hva DoH faktisk er (og hva det erstatter)

Klassisk DNS er ett av de eldste protokollene som fortsatt er i produksjon. Det stammer fra 1983, er eldre enn allestedsnærværende HTTPS, og ble designet da «alle på nettverket er noenlunde pålitelige» var en rimelig forutsetning. Mekanikken: enheten din sender en UDP-pakke til port 53 på den konfigurerte DNS-resolveren din (vanligvis ISP-ens, eller 8.8.8.8 / 1.1.1.1 hvis du har endret det). Pakkekroppen, i klartekst, sier «gi meg A-posten for example.com.» Resolveren svarer, i klartekst, med IP-adressen. Tre egenskaper er verdt å merke seg:

  • Hvem som helst på nettverksbanen kan lese spørringen. ISP-en din, kaffebar-WiFi-en, hvem som helst som kjører tcpdump på det lokale nettverket — hvert domenenavn du slår opp er synlig i klartekst.
  • Hvem som helst på nettverksbanen kan forfalske et svar. Hvis de klarer å sende et falskt svar til enheten din før den legitime resolveren gjør det, har du blitt omdirigert. Slik fungerer noen fangede portaler og noen sensurregimer.
  • Din konfigurerte resolver ser alle spørringer. Den som driver DNS-en din vet hvert domene du besøker, i rekkefølge, med tidsstempler.

DoH (RFC 8484, 2018) endrer #1 og #2: spørringer transporteres inni en TLS-kryptert HTTPS-forbindelse til resolveren. Nettverksobservatører ser HTTPS-bytes, ikke domenenavn. Forfalskning blir like vanskelig som å forfalske et hvilken som helst HTTPS-svar (dvs. praktisk talt umulig uten resolverens TLS-sertifikat). #3 endres ikke — resolveren ser fortsatt spørringene, fordi de er adressert til resolveren. DoH flytter tillitsgrensen; den fjerner den ikke.

DoT (DNS-over-TLS, RFC 7858) gjør det samme på en dedikert port (853) i stedet for å ri på HTTPS på port 443. Funksjonelt ekvivalente personvernegenskaper; operasjonelt forskjellige. DoH er vanskeligere å blokkere på nettverksnivå fordi blokkering krever blokkering av vilkårlig HTTPS, noe som ødelegger hele internett. DoT er enklere for nettverksoperatører å håndheve eller blokkere selektivt. DoH vant distribusjonskappløpet i stor grad fordi Mozilla og Google leverte det inne i nettlesere som standard.

Tre ting DoH faktisk fikser

1. ISP-spionasje på DNS

I USA har ISP-er siden 2017 vært lovlig tillatt å selge nettleserdata uten uttrykkelig samtykke, og DNS-spørringslogger er en del av det de samler inn. I andre land varierer de rettslige rammene; i noen dekker obligatorisk datalagring DNS ved navn. Uansett: hvis du bruker ISP-ens resolver, har ISP-en en komplett logg over hvilke nettsteder du besøker, med tidsstempler.

DoH til en ikke-ISP-resolver (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9, NextDNS, AdGuard DNS, Mullvads DNS, resolveren inne i VPN-en din) lukker dette fullstendig sett fra ISP-ens perspektiv. ISP-en ser fortsatt TLS-tilkoblinger til spesifikke IP-adresser, og fra disse IP-adressene (pluss SNI i TLS-håndtrykket, se nedenfor) kan de ofte slutte seg til vertsnavnet — men de har ikke lenger en ren, søkbar DNS-logg. Tilliten forskyves fra ISP-en til den som driver DoH-resolveren din.

2. Kaffebar-DNS-injeksjon

Fangede portaler på offentlig WiFi fungerer ved å avskjære DNS-spørringer (og HTTP-forespørsler) og omdirigere dem til en portalside inntil du godtar nettverkets vilkår. Den mekanismen — å avskjære DNS-en din — har samme form som ondsinnet DNS-injeksjon. Et fiendtlig nettverk kan omskrive DNS-svarene dine for å omdirigere deg til phishing-sider eller annonse-injeksjonsproxyer. Vanlig DNS gir dem en enkel angrepsflate; DoH lukker den.

Dette er ett av tilfellene der DoH og en VPN-tunnel overlapper. En VPN tunnelerer alt inkludert DNS gjennom krypterte bytes; DoH alene tunnelerer kun DNS-spørringene. På et fiendtlig nettverk bekjemper begge tiltakene DNS-injeksjonsklassen av angrep, men de håndterer ulike lag. Vi dekket trussellandskapet i Offentlig WiFi-angrep i 2026.

3. Visse former for statlig DNS-sensur

Flere sensurregimer implementerer DNS-nivå-blokkering: når du spør «hva er IP-adressen til blokkert-nettsted.com?», returnerer den statspålagte resolveren NXDOMAIN eller omdirigerer til en «dette nettstedet er blokkert»-side. DoH til en resolver utenfor sensureringsurisdiksjonen bekjemper denne spesifikke mekanismen, fordi sensureringsnettet bare ser HTTPS til DoH-resolveren, ikke spørringene inni.

Forbeholdet: dette fungerer bare til sensoren eskalerer. Sofistikerte sensurregimer (Kina, Iran) blokkerer DoH-resolvere direkte etter IP, tvinger frem HTTPS-avskjæring via statlig utstedte rot-CA-er, eller bruker SNI-basert blokkering (se neste avsnitt). DoH bekjemper naiv DNS-sensur; det bekjemper ikke målrettet nasjonalstatlig sensur.

Tre ting DoH ikke hjelper med

1. SNI-lekkasje i TLS-håndtrykket

Dette er fellen de fleste artikler hopper over. Når du kobler til «example.com» over HTTPS, sender nettleseren din vertsnavnet i klartekst under TLS-håndtrykket — spesifikt i SNI-utvidelsen (Server Name Indication). Årsaken: en enkelt IP betjener ofte mange domener via TLS-terminering, og serveren trenger å vite hvilket sertifikat som skal presenteres før den krypterte sesjonen begynner. SNI er, ved design, klartekst.

Nettoeffekt: selv med DoH ser en nettverksintern observatør hvilke vertsnavn du kobler til via SNI. Rettelsen for DNS-spionasje er delvis. Avbøtingen er ECH (Encrypted Client Hello) — en relativt ny TLS-utvidelse som krypterer SNI. Cloudflare slo på ECH for nettsteder bak nettverket sitt i 2023, og Firefox + Chrome la til støtte, men adopsjon utenfor Cloudflare er fortsatt ujevn. Inntil ECH er universelt, lukker DoH bare halvparten av «hvem kan se hvilke nettsteder du besøker»-spørsmålet.

2. IP-basert identifisering av destinasjoner

Selv med DoH og ECH går TLS-tilkoblingene dine fortsatt til spesifikke destinasjons-IP-er. For nettsteder med dedikert infrastruktur (banker, nisjeetjenester) er destinasjons-IP-en en nær-perfekt identifikator for nettstedet selv uten DNS eller SNI. For nettsteder bak store CDN-er (Cloudflare, Fastly, AWS CloudFront) er IP-basert identifisering mer uklar — millioner av nettsteder deler noen få IP-er — men de største nettstedene får fortsatt unik infrastruktur eller særpregede trafikkmønstre.

DoH fikser ikke dette; det kan det ikke. En nettverksobservatør som virkelig ønsker å vite hvilke nettsteder du besøker, kan bygge en IP-til-domene-oppslagstabell og slå opp trafikkmålene dine. Avbøtingen er en VPN-tunnel, som flytter destinasjons-IP-synligheten fra det lokale nettverket til VPN-leverandøren. Tilliten må alltid gå et sted; DoH alene lar den ligge hos nettverkseieren.

3. DoH-leverandøren din ser alt du pleide å lekke til ISP-en

Dette er avveiingen DoH-markedsføring vanligvis utelater: DoH gjør ikke DNS-spørringene dine private; den flytter synligheten fra ISP-en din til din valgte DoH-resolver. Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9, NextDNS, AdGuard og enhver annen DoH-leverandør ser hver spørring du foretar seg på nøyaktig samme måte som ISP-en din pleide å gjøre. Noen publiserer strenge null-logg-retningslinjer; noen publiserer kun aggregert logging; noen selger aggregerte data til «forskningspartnere». Det rettslige rammeverket rundt DoH-leverandøren din betyr like mye som det rundt ISP-en din.

Cloudflares 1.1.1.1 publiserer revisjonsrapporter som indikerer at de kaster logger etter 24 timer og ikke selger DNS-data. Googles 8.8.8.8 logger spørringer (med anonymisering) i ubestemt tid i henhold til den oppgitte oppbevaringsretningslinjen. NextDNS lar deg konfigurere din egen loggoppbevaring fra «ingen» til «din konto, ditt valg.» Valget av DoH-leverandør betyr noe; spørsmålet er hvilket tillitsforhold du er mest komfortabel med — ISP-en din under ditt lands lover, eller DoH-leverandøren din under dets lands lover.

To ting DoH legitimt ødelegger

1. Foreldrekontroll og familienettverk-filtrering

De fleste forbrukermessige foreldrekontrollsystemer fungerer ved å inspisere DNS på ruteren eller via en konfigurert familiefilter-DNS-resolver (OpenDNS Family Shield, Cleanbrowsing Family, NextDNS-familieprofil). Når barnets enhet bruker disse resolverne, returnerer oppslag for vokseninnhold, gambling osv. NXDOMAIN. Systemet er avhengig av at enheten spør foreldrekontroll-DNS-resolveren i utgangspunktet.

Nettleser-nivå DoH (Firefox aktiverte DoH som standard i 2019 for amerikanske brukere; Chrome og Edge bruker OS-resolveren men med DoH hvis konfigurert) omgår disse systemene stille og rolig. Nettleseren spør Cloudflare eller Google direkte, familiefilter-resolveren ser aldri spørringen, og barnet kommer seg til det nettstedet det ønsket å besøke. Dette er tilsiktet fra Mozillas perspektiv («vi bør ikke la nettverk sensurere»); utilsiktet fra en foreldres perspektiv («filteret vi betalte for sluttet nettopp å virke»).

Det finnes avbøtinger, men de er tungvinte: konfigurer DoH på OS-nivå (ikke nettleser) til en familiebevissst resolver som NextDNS-familieprofil eller OpenDNS Family Shield, og deaktiver deretter DoH på nettleser-nivå slik at det faller tilbake til OS-valget. Både Apples konfigurasjonsprofiler og Windows Group Policy støtter dette. For de fleste husstander er det komplisert nok til å utgjøre reell friksjon.

2. Bedriftssikkerhet og nettverksnivå-blokkering av skadevare

De fleste bedriftsnettverk implementerer DNS-basert sikkerhet: en synkehull-DNS-server løser kjente ondsinnede domener til ingenting (eller til en intern varselside), og blokkerer dermed kommando-og-kontroll for skadevare, phishing-omdirigeringer og dataeksfiltrering til kjente endepunkter. Dette fungerer fordi alle enheter på bedriftsnettverket bruker bedriftens DNS, slik at hvert oppslag filtreres.

Nettleser-nivå DoH omgår dette stille og rolig. En kompromittert nettleser som burde vært blokkert fra å nå C2-serveren sin, kan ganske enkelt DoH-løse C2-vertsnavnet via Cloudflare, få den reelle IP-adressen, og koble til direkte. Bedrifts-IT-avdelinger responderte ved enten: (a) konfigurere nettleserpolicy for å deaktivere DoH, (b) distribuere full TLS-inspeksjon slik at sikkerhetsstabelen kan se inni HTTPS inkludert DoH-trafikk, eller (c) blokkere kjente DoH-resolver-IP-er ved brannmuren. Ingen av disse er behagelige — alternativ (a) lar brukere stå på vanlig DNS hjemme også, alternativ (b) krever installasjon av en rot-CA på alle enheter, alternativ (c) brytes etter hvert som nye DoH-endepunkter dukker opp.

DoH på hver plattform — hva er den faktiske konfigurasjonen?

iOS 14+ / iPadOS 14+: Innstillinger → Generelt → VPN og enhetsadministrasjon → DNS — men kun via en installert konfigurasjonsprofil. iOS eksponerer ikke DoH i standard Innstillinger-grensesnitt; du installerer en .mobileconfig-fil (Cloudflare, Quad9, NextDNS, AdGuard, Mullvad publiserer alle disse). Når den er installert, bruker alle apper på enheten DoH til den resolveren. Dette er tilsiktet — iOS behandler DoH som en OS-nivå-innstilling, ikke per app.

Android 9+: Innstillinger → Nettverk og internett → Avansert → Privat DNS — men dette er faktisk DoT, ikke DoH. Android implementerte «Privat DNS» ved bruk av DoT (port 853) snarere enn DoH (HTTPS). Funksjonelt ekvivalente personvernegenskaper; protokollen er forskjellig. Skriv inn vertsnavnet til en DoT-resolver (one.one.one.one for Cloudflare, dns.google for Google, dns.adguard.com for AdGuard) og Android krypterer alle DNS-spørringer systemomfattende.

macOS 11+: samme konfigurasjonsprofil-mekanisme som iOS. Apple leverer sin egen DoH-støtte, men eksponerer den ikke via Systeminnstillinger; du installerer en profil.

Windows 11: Innstillinger → Nettverk og internett → adapter-egenskaper → DNS-servertildeling → «Kun kryptert (DNS over HTTPS)» — Windows kjenner til Cloudflare, Google og Quad9 som standard og vil automatisk konfigurere DoH hvis du setter disse IP-adressene. Windows 10 har DoH-støtte, men det er vanskeligere å finne.

Nettleser-nivå DoH: Firefox aktiverer DoH som standard for amerikanske brukere (Innstillinger → Personvern og sikkerhet → DNS over HTTPS). Chrome kaller det «Sikker DNS» (Innstillinger → Personvern og sikkerhet → Sikkerhet). Safari bruker macOS-nivå konfigurasjon snarere enn nettleserspesifikk konfigurasjon. Edge bruker Windows-nivå. Nettleser-DoH er raskt å aktivere, men skaper foreldrekontroll / bedriftsomgåelse-problemet beskrevet over; OS-nivå DoH plasserer avgjørelsen ett sted der det kan styres.

Velge en DoH-resolver — den ærlige sammenligningen

Valget av DoH-resolver er den faktiske personvernbeslutningen DoH lar deg ta. De viktigste alternativene:

  • Cloudflare 1.1.1.1: rask (anycast, under 15 ms i de fleste byer), 24-timers loggoppbevaring, revidert årlig. Har en «familie»-variant (1.1.1.3) som blokkerer vokseninnhold. Cloudflare tilbyr også WARP, et VPN-lite som kombinerer DoH med en tunnel til Cloudflares nettverk.
  • Google 8.8.8.8: rask, allestedsnærværende, ubestemt loggoppbevaring i henhold til Googles oppgitte policy. Personvern rimelig nok etter Google-standarder, men hvis «gi Google en ny datastrøm» er et problem, bør du se andre steder.
  • Quad9 9.9.9.9: ideell sveitsisk stiftelse uten profittformål, blokkerer kjente ondsinnede domener som standardatferd, oppgitt null-logg-policy, mer konservativ med data enn de fleste.
  • NextDNS: konfigurerbar per profil (blokkeringslister, familiefilter, loggoppbevaring) — kraftbrukernes valg. Se vår sammenligning for dybde.
  • AdGuard DNS: blokkerer annonser/sporere på DNS-laget aggressivt, støtter både DoH og DoT.
  • Mullvad DNS: tilgjengelig som frittstående (ingen VPN-abonnement nødvendig), svensk, konfigurerbar innholdsblokking, tilgjengelig via DoH og DoT.
  • VPN-leverandørens resolver: Casper's Cloak, ProtonVPN (NetShield), Mullvad — DNS håndtert inne i VPN-tunnelen, ingen separat konfigurasjon nødvendig. Praktisk; betyr tillit til VPN-leverandøren for begge lag, noe som er uunngåelig hvis du bruker VPN uansett.

Den ærlige innrammingen: det finnes ingen «beste» DoH-resolver; det finnes en beste for din trusselmodell. Hastighet betyr noe for noen, blokkeringslister for andre, null-logg-policy for andre, jurisdiksjon for andre. Velg én, konfigurer den på OS-nivå (ikke bare nettleser-nivå) slik at valget gjelder alle apper, og revurder når prioriteringene dine eller en resolvers åpenhetsrapporter endrer seg.

Hvor DoH passer med VPN-er og annonseblokkering — det samlede bildet

Tre uavhengige personvernlag, hvert med en annen angrepsflate det lukker:

  • VPN-tunnel: krypterer destinasjons-IP-synligheten fra det lokale nettverket, flytter den til VPN-leverandøren. Lukker «kaffebaren / ISP-en kan se hvilke IP-er du kobler til».
  • DoH / DoT: krypterer DNS-spørringene fra det lokale nettverket og fra ISP-en, flytter DNS-synligheten til DoH-resolveren. Lukker «DNS-logg lagret hos ISP» og «DNS-injeksjon på nettverksnivå».
  • DNS-nivå innholdsfiltrering (Pi-hole, NextDNS, AdGuard DNS): blokkerer oppslag for annonser, sporere, skadevare, phishing — ved resolveren. Lukker «alle apper på enheten din laster sporerSDK-er hvis endepunkter kan blokkeres på DNS-laget».

DoH alene er ett lag. En reell personvernposisjon stapper alle tre. Casper's Cloak er bygget for å levere denne stabelen som én enkelt app: VPN-tunnel + Pi-hole DNS-filtrering (vi kjører en Pi-hole-instans per bruker som resolver) + ML-basert nulldagsphishing-deteksjon på toppen av de statiske blokkeringslistene. DoH er implisitt i hvordan dette er koblet opp — DNS-spørringer mellom enheten og resolveren vår er kryptert. Den ærlige innrammingen er at dette er én gyldig arkitektur; en annen er «konfigurer DoH på OS-nivå til NextDNS, legg på din egen VPN etter valg, oppnå samme sluttresultat med flere knapper». Begge fungerer; avveiingen er bekvemmelighet versus konfigurerbarhet. Vi dekket det samme poenget fra DNS-filtreringsvinkelen i Slik fungerer DNS-nivå filtrering egentlig.

Bunnlinjen

DoH er en reell og nyttig personvernforbedring, med forbehold som ikke er i markedsføringen. Det lukker ISP-spionasje på DNS, kaffebar-DNS-injeksjon og naiv sensur — tre reelle problemer for reelle brukere. Det lukker ikke SNI-lekkasje, IP-basert destinasjonsidentifisering, eller tillit til din valgte resolver. Og det ødelegger foreldrekontroll og bedriftssikkerhet i legitime bruksscenarier med mindre du konfigurerer nøye.

Den viktigste enkeltbeslutningen med DoH er hvilken resolver du velger, konfigurert på OS-nivå slik at alle apper får det konsekvent. Den nest viktigste beslutningen er om du skal kombinere DoH med en VPN-tunnel (lukker destinasjons-IP-synlighet) og DNS-nivå innholdsfiltrering (blokkerer annonser/sporere/ondsinnede-domene-oppslag). DoH alene løser ett lag; den samlede stabelen løser angrepsflaten.


Relatert: Slik fungerer DNS-nivå filtrering egentlig dekker filtreringslaget DoH alene ikke inkluderer; Offentlig WiFi-angrep i 2026 dekker nettverks-fiendtlighets-trusselmodellen DoH hjelper med; Gratis VPN vs betalt VPN i 2026 dekker VPN-tunnel-laget. NextDNS-sammenligningen og Pi-hole-sammenligningen går dypere inn i valgene for konfigurerbare DNS-resolvere.

Vurdert av Casper's Cloak Security Team · Sist oppdatert

Prøv Casper's Cloak

VPN-tunnel + Pi-hole DNS-filtrering (DoH-kryptert som standard) + ML-trusseldeteksjon i én app. Den samlede stabelen uten konfigurasjon på hvert lag — se priser eller funksjonen for trusselbeskyttelse.