Vilken DNS använder du?* Omröstning*

En intressantare fråga är väl om man använder krypterade eller okrypterade DNS-förfrågningar.

Att skicka en okrypterad DNS-förfrågan som alla på vägen över halva internet kan läsa till en komersiell entitet som lever på att kartlägga människor känns en smula onödigt.

”Snabbhet” är dock ett begränsat vettigt argument. DNS resolvers cachar nästan allrtid resultatet. Det är därför bara den första sidladdningen under en viss tidsrymd som påverkas.

Ett omodifierat klientoperativsystem använder den DNS den får från hushållets routers DHCP-server, vilket i normala konsumentroutrar gör att DNS-servern är hushållets router själv. Den gör sedan som standard uppslag mot den DNS som den i sin tur fått från ISP:ns DHCP, vilket är ISP:ns DNS. I min OpenWrt-router kan jag överstyra tiden som ett uppslag cachas om jag vill.

Jag tvivlar starkt på att Cloudfflare är snabbt i jämförelse med cachen i browsern, i det lokala operativsystemet eller i routern, vilket är vad som kommer att användas i en stor majoritet av uppslagen.

Lokal DNS-baserad adblocker (pihole) kommer sannolikt göra mer skillnad, eftersom det eliminerar stora delar av en sidladdning och gör det mer lokalt.

Det rimliga stället att välja upstream DNS är i routern, där man också kan se till att DNS-förfrågningarna blir krypterade.

Moderna webbläsare går dock förbi alla DNS-inställningar (detta är olika sant beroende på i vilket land man befinner sig) och kör DNS-över-HTTPS enligt egna inställningar.

Vissa routrar (OpenWrt med banIP t. ex) kan brandvägga bort kända DoH-servrar samt hijacka okrypterad DNS-trafik och således tvinga IoT-enheter och annat med eget uppslag att gå via routerns DNS.

För att Telias DNS gått ner flera gånger

På routern hemma: Googles DNS

På mobila enheter: Adguard DNS för att blockera en majoritet av reklamen i telefonen

Servrarna i sig är så motståndskraftiga som den entitet som kontrollerar den. Om NSA avlyssnar servern så kan ingen kryptering på vägen dit stoppa dem. Om alternativet är ISP eller Cloudflare så får man bestämma sig vem man litar mest på. Att svenska ISP måste lagra trafikdata vet vi, så om man inte använder VPN vet de ändå vart man surfar, oavsett hur man gör uppslaget. Frågan blir då om man även ska sprida det till ytterligare en DNS-leverantör.

DNS är normalt okrypterad, vilket ledde till mitt första inlägg i tråden. Mitt andra inlägg i tråden handlar (efter redigering) om vad man kan göra för att få all sin DNS-trafik krypterad.

Det finns såklart inget som hindrar svenska ISP att sätta upp pålitliga och krypterade DNS-tjänster. Gör oss gärna en tjänst och ta fram statistik på hur robusta eller icke robusta svensk ISP:ers DNS:er är. En sammanställning av vilka svenska ISP:er som erbjuder respektive inte erbjuder DoH vore också bra. Om vi nu ska kunna utvärdera detta mot Cloudflare.

Började med ControlD Malware efter att ha läst det här testet. Kör med DoH (DNS over HTTPS).

https://techblog.nexxwave.eu/public-dns-malware-filters-teste...

Kör Adguard DNS i routern samt NextDNS i telefonerna.

Om någon enhet behöver komma åt något specifikt (läs reklam), så används Googles DNS:er.

I NextDNS kör jag med olika profiler, så min iPhone blockerar exempelvis mer från Google än min Android-lur.

Kanske lite överkill, men på min iPhone kör jag AdGuard Pro med NextDNS som DNS-over-HTTPS.

Kör pihole som i sin tur använder sig av quad9 med lite tweaks upstream:

Kör egen resolver hemma, den går ut med DoT mot Google/Cloudflare/quadnine. Sedan har jag RPZ-zon jag använder för att blockera reklam (typ samma sak som pihole).

När jag inte är hemma har min telefon en vpn-profil som slår på och använder min interna dns, så jag slipper reklam även ute på vift. Jag tror även jag litar mer på min egna dns hemma än någon random wifis, även om latency blir sämre.

kör cloudflare DNS

för att bredband2´s sketna DNS dyker typ 4ggr i veckan och gör internet totalt obrukbart ibland i timmar om man inte byter till en annan.

så istället för att behöva hålla på och byta fram och tillbaka så kör jag cloudflare på heltid istället.

NextDNS och är supernöjd
https://nextdns.io/

Tidigare Google, numera Molnblossa.