Po uzyskaniu dostępu do Internetu z wykorzystaniem modemu, rutera i twojego komputera, smartfona, tabletu, korzystając ze stron internetowych i aplikacji najpewniej będziesz używać DNS i nawet o tym nie wiedzieć. Automatycznie twój dostawca Internetu (w ang. skrócie „ISP”) przydzieli tobie adres ich własnego DNS. Od teraz każda strona WWW i aplikacja łącząca się z globalną siecią będzie łączyć się z serwerem DNS dostawcy. ISP od teraz będzie wiedzieć jakie strony odwiedzasz i z jakich aplikacji korzystasz. Informacje te mogą zostać wykorzystane do śledzenia, marketingowego profilowania i dalej udostępniania tych informacji osobom trzecim. Łączność z serwerem DNS nie jest szyfrowana i jest w pełni transparentna. Co zrobić, aby ISP nie widziało adresów w DNS?

  • Nie używaj rutera i jeśli to możliwe również modemu dostarczonego przez dostawcę Internetu. We własnym zakresie kup ruter i modem (czasami użycie własnego modemu będzie niemożliwe), a następnie wprowadź do nich dane dostępowe zgodnie ze wskazówkami dostarczonymi przez ISP.
  • W ustawieniach modemu dostarczonego przez ISP lub na koncie abonenta nie zezwalaj na telemetrię: zbieranie danych statystycznych o użyciu i technicznych błędach itp.
  • Wprowadź inne adresy DNS niż te podane przez ISP w ruterze (najlepsza opcja) lub w poszczególnych domowych urządzeniach – komputerze, smartfonie, tablecie, telewizorze itp. Jeśli zmienisz DNS w ruterze, domowe urządzenia podłączone do niego powinny - sprawdź to - używać adresów DNS z rutera.

Szyfrowany serwer DNS

Szyfrowanie transmisji DNS pozwoli na ukrycie informacji o odwiedzanych stronach internetowych i używanych aplikacjach pod kątem wykorzystywanych domen internetowych (sam szyfrowany DNS nie zapewni pełnej anonimowości, prywatności i bezpieczeństwa, jest to tylko jeden z kroków – czytaj więcej w naszym portalu o bezpieczeństwie i ochronie prywatności w sieci).

W ustawieniach swojego sprzętu należy wpisać najczęściej dwa adresy serwerów DNS oraz włączyć szyfrowanie połączenia (DoT TLS lub DoH HTTPS). Poniżej przedstawiam lepsze alternatywy DNS do tych dostarczanych przez ISP. Warto zajrzeć do instrukcji dostawcy DNS, a także sprawdzić możliwości konfiguracyjne rutera lub innego urządzeniu, w którym wpiszesz nowe adresy DNS czytając instrukcję obsługi danego urządzenia lub programu.

  • Quad9
    IPv4: 9.9.9.9, 149.112.112.112
    IPv6: 2620:fe::fe, 2620:fe::9
    DoH: https://dns.quad9.net/dns-query
    DoT: tls://dns.quad9.net

  • Quad9 (z dodatkowym blokowaniem malware, ochrona DNSSEC, ECS)
    IPv4: 9.9.9.11, 149.112.112.11
    IPv6: 2620:fe::11, 2620:fe::fe:11
    HTTPS: https://dns11.quad9.net/dns-query
    TLS: tls://dns11.quad9.net

  • One.One.One.One (Cloudflare DNS)
    IPv4: 1.1.1.1, 1.0.0.1
    IPv6: 2606:4700:4700::1111, 2606:4700:4700::1001
    dostępne opcje DoT (włącz szyfrowanie TLS w ustawieniach urządzenia) i DoH (patrz dokumentacja Cloudflare DNS)

  • One.One.One.One (Cloudflare DNS z dodatkowym blokowaniem malware)
    IPv4: 1.1.1.2, 1.0.0.2
    IPv6: 2606:4700:4700::1112, 2606:4700:4700::1002
    DoH: https://security.cloudflare-dns.com/dns-query
    DoT: security.cloudflare-dns.com

  • NextDNS
    Po zarejestrowaniu konta użytkownika i zalogowaniu zobaczysz twoje adresy DNS i dane konfiguracyjne. NextDNS to twój „prywatny serwer DNS” i umożliwia konfigurację DNS, blokowanie reklam, malware, stron phishingowych, funkcje kontroli rodzicielskiej i daje inne ciekawe możliwości w zakresie ochrony, również w zależności od podłączonego, domowego urządzenia. Opcja dla bardziej zaawansowanych użytkowników.

  • AdGuard DNS
    Bardzo podobna usługa do NextDNS.

Jak sprawdzić czy połączenie jest szyfrowane?

Wpisanie nowych adresów DNS nie zawsze oznacza uruchomienie nowego, bezpieczniejszego połączenia DNS. Musisz sprawdzić czy uzyskano zamierzony rezultat. Zanim zaczniesz cokolwiek zmieniać w ustawieniach DNS przejdź na stronę dnsleaktest.com, dokonaj testu i zapamiętaj dane. Po zmianie ustawień DNS, zrób ponownie test i sprawdź czy numery IP się powtarzają. Jeśli się zmieniły i się nie powtarzają to znaczy, że zmiany zostały dokonane i działają poprawnie na urządzeniu. Warto przeprowadzić testy na wszystkich urządzeniach, komputerach i smartfonach użytkownika.

Dodatkowo dostawcy wyżej wspomnianych serwerów DNS udostępnili własne strony, na których sprawdzisz rezultat wprowadzonych zmian:

Co to jest Passkeys i czy jest to bezpieczne?
Nowa forma logowania do stron internetowych i aplikacji może wkrótce zastąpić „hasło logowania”. Jest to bezpieczniejsza forma logowania, lecz jak dotąd niepozbawiona wad.
logoSelfhosty.pl
Co to jest Passkeys i czy jest to bezpieczne?

Co jeszcze warto wiedzieć?

Mając nieco umiejętności możesz uruchomić własny DNS w domu na bazie Unbound DNS, AdGuard Home lub PiHole, które mogą wysyłać do ww. dostawców DNS zaszyfrowane zapytania DNS, jednocześnie chroniąc ciebie przed złymi adresami WWW na poziomie lokalnym. Polecam posiadanie lokalnej instalacji DNS.

Jeśli pewnego dnia będziesz mieć aktywne, internetowe połączenie, a mimo to różne witryny i aplikacje nie będą się ładować, jakby Internetu nie było, to odczekaj kilkanaście minut. Gdy serwer DNS ulegnie awarii nie otworzysz żadnej witryny WWW i niektóre aplikacje mogą przestać działać poprawnie. Zmień tymczasowo adresy DNS na Google DNS:

IPv4: 8.8.8.8, 8.8.4.4
IPv6: 2001:4860:4860::8888, 2001:4860:4860::8844

Po minucie sprawdź czy możesz uruchamiać strony internetowe. Jeśli tak to problem leżał po stronie DNS, a nie dostawcy Internetu ISP. Awarie DNS rzadko się zdarzają i raczej trwają kilka minut. Po rozwiązaniu problemu wróć ponownie do poprzednich ustawień DNS.

Pamiętaj, że jeżeli za pomocą DNS blokujesz malware, reklamy itp. niektóre strony mogą się niewyświetlać lub wyświetlać się z błędami. Sprawdzaj logi DNS (NextDNS, Adguard DNS, PiHole), w celu weryfikacji zablokowanej witryny.

I na zakończenie dodam, że jakość serwerów DNS i ich łącz internetowych wpływają między innymi na szybkość ładowania stron WWW.