Does Safari support doh or dot?

Sikker DNS på iPhone og Mac: Guiden til DoH/DoT-profiler

26/05/2023

Rating: 4.49 (4571 votes)

I en tid hvor digital sikkerhed og privatliv er mere afgørende end nogensinde, søger mange brugere måder at beskytte deres onlineaktiviteter på. En af de mest effektive metoder til at sikre din internettrafik er gennem krypteret DNS, specifikt DNS over HTTPS (DoH) og DNS over TLS (DoT). Disse teknologier hjælper med at skjule dine DNS-forespørgsler fra nysgerrige øjne, hvilket forbedrer både dit privatliv og din sikkerhed. Denne artikel vil dykke ned i, hvordan du kan implementere DoH- og DoT-profiler på dine Apple-enheder, herunder iPhone, iPad og Mac, for at opnå en mere sikker og privat browsingoplevelse. Vi vil udforske processen trin for trin, fra at forstå hvad disse profiler er, til hvordan man installerer dem og hvilke potentielle begrænsninger man skal være opmærksom på. Forståelsen af krypteret DNS er et afgørende skridt mod en mere robust digital tilstedeværelse.

How do I apply a DNS profile to my iPhone?
To apply to your phone create a dns.mobileconfig file from the configuration and airdrop it to your iPhone! When on my local network I prefer to use my local network’s DNS resolver, so I have an exception below to not activate the profile on $YOUR_WIFI_NETWORK. Replace that with your network’s SSID.
Indholdsfortegnelse

Hvad er DNS over HTTPS (DoH) og DNS over TLS (DoT)?

DNS (Domain Name System) er internettets telefonbog. Når du indtaster en hjemmesideadresse som "google.com" i din browser, oversætter DNS den til en IP-adresse, som computeren kan forstå. Traditionel DNS-trafik er ukrypteret, hvilket betyder, at din internetudbyder (ISP) eller andre på dit netværk kan se, hvilke hjemmesider du besøger. Dette rejser bekymringer om privatliv og kan potentielt udnyttes til censur eller målrettet reklame.

DNS over HTTPS (DoH) og DNS over TLS (DoT) er protokoller, der krypterer din DNS-trafik. DoH bruger den samme kryptering som almindelig HTTPS-web-trafik, hvilket gør det svært at skelne DNS-forespørgsler fra anden web-trafik. DoT bruger TLS (Transport Layer Security), den samme sikkerhedsprotokol, der beskytter HTTPS, men på en dedikeret port. Begge metoder forhindrer aflytning og manipulation af dine DNS-forespørgsler, hvilket giver et betydeligt løft til dit online privatliv og sikkerhed. Dette er især relevant i dag, hvor databeskyttelse er et centralt emne.

Hvorfor bruge krypteret DNS på dine Apple-enheder?

Implementering af krypteret DNS på din iPhone, iPad eller Mac giver flere væsentlige fordele. Først og fremmest forbedrer det dit privatliv markant. Ved at kryptere dine DNS-forespørgsler forhindrer du din internetudbyder, offentlige Wi-Fi-netværk eller andre tredjeparter i at overvåge din browsinghistorik. Dette er afgørende for brugere, der værdsætter anonymitet og ønsker at undgå dataindsamling.

For det andet øger det din sikkerhed. Krypteret DNS beskytter mod DNS-spoofing og man-in-the-middle-angreb, hvor ondsindede aktører kan omdirigere dig til falske hjemmesider. Ved at sikre, at dine DNS-forespørgsler er autentiske og uændrede, reduceres risikoen for at falde for phishing-forsøg og malware-infektioner. Dette giver en mere robust beskyttelse mod cybertrusler.

For det tredje kan krypteret DNS hjælpe med at omgå censur. I regioner, hvor specifikke hjemmesider er blokeret på DNS-niveau af regeringer eller internetudbydere, kan brugen af en ekstern, krypteret DNS-tjeneste omgå disse blokeringer. Dette giver adgang til frit internetindhold og information, hvilket er afgørende for ytringsfrihed og informationsdeling. Selvom Safari-browseren i sig selv ikke direkte understøtter DoH eller DoT, understøtter operativsystemet (iOS/iPadOS/macOS) det via konfigurationsprofiler. Dette er den primære metode til at aktivere krypteret DNS på Apple-enheder.

How do I download a DoH profile?

Sådan downloader du en DoH/DoT-profil

Den mest almindelige måde at downloade en DoH- eller DoT-profil er via en .mobileconfig-fil. Disse filer er specielle konfigurationsfiler, der fortæller dit Apple-operativsystem, hvordan det skal indstille specifikke systemindstillinger, herunder DNS-servere. Det er vigtigt at bemærke, at på iOS og iPadOS skal du bruge Safari til at åbne disse filer. Andre browsere vil typisk blot downloade filen i stedet for at spørge om installation.

Du kan finde forudgenererede profiler fra anerkendte DNS-udbydere som Quad9 eller på open source-projekter som Paul Miller's repository for krypteret DNS-profiler. For eksempel, Quad9 tilbyder forskellige profiler (f.eks. DNSSEC, trusselsblokering, med ECS, DNS over TLS) direkte fra deres dokumentation. Når du klikker på et link til en .mobileconfig-fil i Safari, vil din enhed automatisk genkende filtypen og bede dig om at tillade download af profilen. Dette er det første skridt i installationsprocessen og er afgørende for at fortsætte.

Det er vigtigt at downloade profiler fra betroede kilder. Selvom profiler er nyttige, kan ondsindede profiler potentielt kompromittere din enheds sikkerhed. Vær altid opmærksom på, hvor filen kommer fra, og hvad den hævder at gøre. En grundig gennemgang af kildens troværdighed er altid anbefalelsesværdig, før du fortsætter med installationen af en ny profil.

Installation af en DoH/DoT-profil på iPhone og iPad

Installationen af en DNS-profil på din iPhone eller iPad er en ligetil proces, der kræver et par trin gennem indstillingerne. Følg denne trin-for-trin guide:

  1. Download profilen: Åbn den .mobileconfig-fil, du ønsker at installere, i Safari. Hvis du bruger en anden browser, kan den muligvis downloade filen uden at spørge om installation, hvilket kan gøre processen mere kompliceret. Når du åbner filen i Safari, vil du blive bedt om at "Tillad" download af profilen. Tryk på "Tillad".
  2. Bekræft download: Når download er tilladt, vil en pop-up fortælle dig, at profilen er downloadet. Du skal nu navigere til indstillingerne for at installere den.
  3. Gå til Indstillinger: Åbn appen "Indstillinger" (Settings) på din enhed.
  4. Find Profiler: Naviger til "Generelt" (General), og rul derefter ned og tryk på "VPN, DNS og Enhedshåndtering" (VPN, DNS & Device Management).
  5. Vælg den downloadede profil: Under sektionen "Downloadede profiler" (Downloaded Profiles) finder du den profil, du lige har downloadet. Tryk på den.
  6. Installer profilen: På den næste skærmbillede vil du se detaljer om profilen. Tryk på knappen "Installer" (Install) øverst til højre. Du bliver muligvis bedt om at indtaste din adgangskode eller Touch ID/Face ID for at godkende installationen.
  7. Bekræft installationen: Læs eventuelle advarsler, og tryk igen på "Installer" for at bekræfte. Efter installationen er profilen aktiv, og din enhed vil begynde at bruge den krypterede DNS-tjeneste.

Det er vigtigt at bemærke, at profiler for DoH/DoT ikke blot er en indstilling af server-IP'er i systempræferencer; de er konfigurationsfiler, der specifikt instruerer operativsystemet om at bruge DoH/DoT. Dette sikrer, at indstillingerne fungerer på tværs af alle apps på din iOS- og iPadOS-enhed, hvilket giver en systemdækkende kryptering af dine DNS-forespørgsler.

Installation af en DoH/DoT-profil på macOS

Processen for at installere en DoH/DoT-profil på macOS ligner den for iOS/iPadOS, men med nogle forskelle i navigationsvejene. Her er trinnene:

  1. Download og gem profilen: Download .mobileconfig-filen til din Mac. Sørg for, at filen er gemt med den korrekte filtypenavn, f.eks. NAVN.mobileconfig, og ikke som NAVN.txt eller lignende, da dette kan forhindre systemet i at genkende den korrekt.
  2. Åbn Systemindstillinger: Klik på Apple-menuen i øverste venstre hjørne af skærmen, og vælg "Systemindstillinger" (System Settings).
  3. Naviger til Privatliv og Sikkerhed: I sidebjælken skal du klikke på "Privatliv og Sikkerhed" (Privacy & Security).
  4. Find Profiler: Rul ned i højre side, indtil du finder og klikker på "Profiler" (Profiles). Hvis du ikke ser "Profiler" med det samme, kan det være nødvendigt at rulle ned for at finde det.
  5. Installer profilen: I sektionen "Downloadede profiler" (Downloaded Profiles) skal du dobbeltklikke på den profil, du lige har gemt.
  6. Gennemgå og bekræft: En dialogboks vises, der viser indholdet af profilen. Gennemgå oplysningerne for at sikre, at du er komfortabel med, hvad profilen vil ændre. Klik derefter på "Fortsæt" (Continue), "Installer" (Install) eller "Tilmeld" (Enroll) for at starte installationen. Du kan blive bedt om at indtaste din adgangskode eller anden information for at fortsætte.
  7. Fuldfør installationen: Følg eventuelle yderligere anvisninger for at fuldføre installationen. Hvis en ældre version af en profil allerede er installeret på din Mac, vil indstillingerne i den opdaterede version erstatte de tidligere.

Denne metode sikrer, at den krypterede DNS-konfiguration anvendes systemdækkende på din macOS-enhed, hvilket påvirker al netværkstrafik, der bruger DNS. Dette er en robust løsning, der ikke kræver, at individuelle applikationer understøtter DoH/DoT direkte, da operativsystemet håndterer krypteringen.

Vigtige overvejelser og begrænsninger

Selvom DoH/DoT-profiler tilbyder betydelige fordele, er der flere vigtige aspekter og begrænsninger, du bør være opmærksom på:

  • Midlertidig løsning og udløb: Apple har designet disse profiler til at være midlertidige. Som dokumenteret af for eksempel Quad9, er "Disse profiler kun gyldige, indtil de udløber, hvorefter de automatisk deaktiveres, indtil en ny profil installeres. Dette er efter Apples design, og der er ingen vej uden om det." Dette betyder, at du regelmæssigt skal tjekke for og installere opdaterede profiler.
  • Ikke en komplet løsning mod blokering: Selvom krypteret DNS kan omgå DNS-baseret censur, løser det ikke alle former for blokering. Som nævnt, "Andre er blokeret af kapret HTTPS-trafik." Hvis en hjemmeside er blokeret på IP-niveau eller via dybere pakkeinspektion, vil en DoH/DoT-profil ikke nødvendigvis give adgang.
  • Brugergrænseflade for opsætning: "Så vidt jeg kan se, er brugergrænsefladen til at konfigurere dette fra bunden ikke tilgængelig i Systemindstillinger." Apple stræber efter at holde tingene låst for at forbedre den overordnede sikkerhed, hvilket betyder, at brugere er afhængige af forudgenererede profiler eller manuelt oprettede .mobileconfig-filer.
  • Censur/filtrering via profiler: Nogle profiler kan have "Censur=ja" (også kendt som "filtrering"), hvilket betyder, at profilen "ikke vil sende sand information om hostname=IP-relation for nogle værter." Vær opmærksom på dette, hvis du bruger profiler fra mindre kendte udbydere, da det kan påvirke adgangen til visse websteder.
  • Signerede kontra usignerede profiler: Du kan støde på både signerede og usignerede profiler. Signerede profiler er verificeret af en tredjepart (f.eks. @Xernium) og har et verificeret afkrydsningsfelt under installationen, hvilket sikrer, at de ikke er blevet manipuleret med. Usignerede profiler har ikke denne garanti. Selvom signerede profiler giver øget tillid, kan de nogle gange være lidt bagefter deres usignerede modparter med hensyn til opdateringer. For at verificere signerede profiler skal du downloade dem og åbne dem i en teksteditor, da GitHub kan opfatte dem som binære filer.
  • PayloadScope: Der er en valgfri indstilling PayloadScope, der kan sættes til "System" for at anvende profilen systemdækkende. Standard er ofte "User". For de fleste brugere vil "System" være det foretrukne valg for at sikre, at DoH/DoT anvendes konsekvent.
  • OnDemandRules (aktivering efter behov): Du kan tilpasse profilen til at ekskludere visse betroede Wi-Fi-netværk, hvor du ikke ønsker at bruge krypteret DNS (f.eks. dit hjemmenetværk, hvor du stoler på din lokale DNS-resolver). Dette gøres ved at tilføje dine SSID'er i OnDemandRules-sektionen i profilens PayloadContent-ordbog. Bemærk, at du ikke kan redigere signerede profiler direkte, da det ville bryde deres signatur.

Disse overvejelser er afgørende for at få en optimal og sikker oplevelse med DoH/DoT-profiler på dine Apple-enheder. Det er altid en god idé at forstå de fulde implikationer af de profiler, du installerer.

How to install a VPN on iOS / iPadOS?
iOS / iPadOS: Open the mobileconfig file in GitHub by using Safari (other browsers will just download the file and won't ask for installation), and then click/tap on "Allow" button. The profile should download. Go to System Settings => General => VPN, DNS & Device Management, select downloaded profile and tap the "Install" button.

Generering af egne DoH/DoT-profiler (Avanceret)

For dem med teknisk viden er det muligt at generere dine egne DoH/DoT-profiler. Dette giver maksimal kontrol over indstillingerne. Profiler genereres typisk fra let redigerbare .json-filer, som derefter konverteres til .mobileconfig-formatet (som er XML). Du kan bruge eksisterende skabeloner fra projekter som Paul Miller's repository.

Når du opretter en ny profil, er det vigtigt at ændre dens UUID (Universally Unique Identifier). Hver profil skal have en unik UUID for at undgå konflikter. UUID'er kan genereres på forskellige måder, f.eks. via browserens DevTools (crypto.randomUUID()), macOS/Linux terminalen (uuidgen eller cat /proc/sys/kernel/random/uuid) eller PowerShell.

XML-strukturen i en .mobileconfig-fil er kompleks, men den indeholder nøgler som PayloadDisplayName (profilens navn), PayloadOrganization (udbyder), PayloadDescription (beskrivelse), PayloadIdentifier og PayloadUUID. Den vigtigste del er PayloadContent, som indeholder DNSSettings-ordbogen. Her definerer du DNSProtocol (HTTPS eller TLS), ServerAddresses (IP-adresser på DNS-serverne) og ServerURL (kun for HTTPS). Apples officielle dokumentation giver en dybdegående forklaring af alle disse egenskaber. At have kontrol over din egen profilgenerering giver en uovertruffen fleksibilitet og tilpasningsevne.

Sammenligning af DNS-udbydere (Eksempel)

Når du vælger en DoH/DoT-udbyder, er der flere faktorer at overveje, herunder privatlivspolitik, hastighed, og hvilke yderligere funktioner de tilbyder. Her er en simpel sammenligning af nogle populære udbydere, der ofte bruges med krypterede DNS-profiler:

UdbyderPrimær IP (IPv4)Primær URL (DoH)FunktionerPrivatlivs-fokus
Cloudflare (1.1.1.1)1.1.1.1https://cloudflare-dns.com/dns-queryHurtig, privat, ingen logning af IP-adresser, DDoS-beskyttelse.Høj (fokus på privatliv, sletter logs hver 24. time).
Quad99.9.9.9https://dns.quad9.net/dns-queryTrusselsblokering (malware, phishing), DNSSEC, ECS-støtte.Høj (ingen logning af personlige data).
Google Public DNS8.8.8.8https://dns.google/dns-queryHurtig, bred tilgængelighed, logning af anonymiserede data.Moderat (anonymiseret logning til ydeevne og sikkerhed).

Valget af udbyder afhænger af dine personlige præferencer og behov. Hvis trusselsblokering er vigtigt, er Quad9 et stærkt valg. Hvis du prioriterer ren hastighed og privatliv, er Cloudflare et godt bud. Google Public DNS er et pålideligt og hurtigt alternativ, men med en anden tilgang til datalogning.

Ofte Stillede Spørgsmål (FAQ)

1. Kan jeg bruge DoH/DoT-profiler på alle mine Apple-enheder?

Ja, konfigurationsprofiler for DoH og DoT kan installeres på iOS (iPhone), iPadOS (iPad), macOS (Mac), tvOS (Apple TV) og watchOS (Apple Watch). Processen kan variere lidt mellem enhederne, men princippet er det samme. Dette sikrer en konsistent sikkerhedsstandard på tværs af dit Apple-økosystem.

2. Hvorfor udløber profilerne?

Apple har designet profilerne til at udløbe som en sikkerhedsforanstaltning. Dette sikrer, at forældede eller potentielt kompromitterede profiler automatisk deaktiveres. Det er en del af Apples strategi for at opretholde en høj grad af sikkerhed og kontrol over operativsystemets konfigurationer. Selvom det kan være en ulempe for brugeren, er det et bevidst designvalg.

How do I download a DoH profile?

3. Kan jeg oprette min egen .mobileconfig-fil uden at downloade den fra en tredjepart?

Ja, absolut. Som nævnt i afsnittet om generering af profiler, kan du manuelt oprette .mobileconfig-filer ved at skrive XML-koden selv eller bruge onlineværktøjer, der genererer filen fra en JSON-skabelon. Du kan også redigere eksisterende .json-filer og konvertere dem. Dette giver dig fuld kontrol over profilens indhold og de DNS-servere, den bruger. Når filen er oprettet, kan du Airdroppe den til din iPhone/iPad eller gemme den lokalt på din Mac for installation.

4. Vil en DoH/DoT-profil påvirke min VPN-forbindelse?

Generelt set bør en DoH/DoT-profil ikke forstyrre en VPN-forbindelse, da de opererer på forskellige niveauer. VPN'en krypterer al din netværkstrafik og omdirigerer den gennem en tunnel, mens DoH/DoT krypterer dine DNS-forespørgsler. Typisk vil DNS-forespørgslerne blive sendt over VPN-tunnelen og derefter behandles af den DNS-server, som VPN'en bruger, eller den, der er specificeret af DoH/DoT-profilen. Hvis der opstår konflikter, kan det skyldes specifikke VPN-klientindstillinger. Det er vigtigt at teste din opsætning for at sikre, at begge dele fungerer som forventet.

5. Hvordan fjerner jeg en installeret DNS-profil?

Det er nemt at fjerne en installeret DNS-profil.

  • iPhone/iPad: Gå til "Indstillinger" > "Generelt" > "VPN, DNS og Enhedshåndtering". Find den profil, du ønsker at fjerne, tryk på den, og vælg "Fjern profil" (Remove Profile). Du skal muligvis indtaste din adgangskode.
  • macOS: Gå til "Systemindstillinger" > "Privatliv og Sikkerhed" > "Profiler". Vælg den profil, du ønsker at fjerne, og klik på minus-knappen (-) nederst til venstre. Du skal muligvis indtaste din adgangskode.

Fjernelse af profilen vil deaktivere den krypterede DNS-tjeneste, og din enhed vil vende tilbage til at bruge de DNS-servere, der er angivet af dit netværk eller din internetudbyder.

Konklusion

Krypteret DNS via DoH- og DoT-profiler repræsenterer et vigtigt skridt mod forbedret online privatliv og sikkerhed for Apple-brugere. Selvom Safari-browseren ikke direkte understøtter disse protokoller, giver operativsystemets indbyggede understøttelse via konfigurationsprofiler en robust og systemdækkende løsning. Ved at følge de trin, der er beskrevet i denne guide, kan du nemt downloade og installere disse profiler på din iPhone, iPad og Mac, og derved tage kontrol over din DNS-trafik.

Det er dog afgørende at være opmærksom på de begrænsninger og nuancer, såsom profilernes udløb, potentialet for filtrering, og behovet for at hente profiler fra betroede kilder. For dem, der søger maksimal tilpasning og kontrol, tilbyder muligheden for at generere egne profiler en avanceret vej. I sidste ende giver brugen af krypteret DNS en mere sikker og privat internetoplevelse, hvilket er uvurderligt i den digitale tidsalder. Tag skridtet i dag og forbedre din digitale fodaftryk med DoH/DoT-profiler.

Hvis du vil læse andre artikler, der ligner Sikker DNS på iPhone og Mac: Guiden til DoH/DoT-profiler, kan du besøge kategorien Teknologi.

Go up