n/yksityinendns: initial commit of FI encrypted DNS instructions

2025-12-21 10:28:34 +01:00 · 2025-12-17 12:25:04 +02:00 · 2025-12-17 12:25:04 +02:00 · 1f0308c01b
commit 1f0308c01b
parent e3ff86cc51
1 changed files with 181 additions and 0 deletions
--- a/n/yksityinendns.md
+++ b/n/yksityinendns.md
@ -0,0 +1,181 @@
 ---
 title: Internetin puhelinluettelon (DNS) suojaaminen mobiililaitteilla
 excerpt:
  DNS kertoo mistä ihmisen muistettavissa oleva verkkotunnus löytyy, mutta
  mikään ei estä monsteria välissä ohjaamasta väärään paikkan ellei sitä
  suojata.
 layout: mini
 permalink: /n/yksityinendns.html
 redirect_from:
  - /n/dns2.html
 sitemap: true
 lang: fi
 robots: noai
 ---
 _{{ page.excerpt }}_
 # Internetin puhelinluettelo, DNS
 Yleensä WLAN-tukiasema kertoo käytetyn DNS-palvelimen, mutta voiko siihen
 luottaa? Se voi olla internet-palveluntarjoajan nimipalvelin, tai haittaohjelman
 määrittämä nimipalvelin, ellei jopa lähistöllä olevan hyökkääjän hallitsema
 palvelin.
 Nimipalvelimella on tärkeä rooli. Kaikkien tulisi esimerkiksi muistaa
 verkkotunnus `kanta.fi`, joka kirjoitushetkellä ohjaa IPv4-osoitteeseen
 `91.202.112.2`, jota kukaan ei ala muistamaan ja miks itarvitsisikaan, kun
 nimipalvelin tekee sen.
 <!-- editorconfig-checker-disable -->
 <!-- prettier-ignore-start -->
 <!-- START doctoc generated TOC please keep comment here to allow auto update -->
 <!-- DON'T EDIT THIS SECTION, INSTEAD RE-RUN doctoc TO UPDATE -->
 <em lang="fi">Automaattinen sisällysluettelo</em> / <em lang="en">Automatically generated Table of Contents</em>
 - [Nimipalvelin ehdotuksia](#nimipalvelin-ehdotuksia)
 - [Android](#android)
  - [Ehdottamieni nimipalvelimien osoitteita](#ehdottamieni-nimipalvelimien-osoitteita)
  - [Verkko ei ole yhteydessä internetiin](#verkko-ei-ole-yhteydess%C3%A4-internetiin)
 - [Apple](#apple)
  - [Apple-asetusprofiileja](#apple-asetusprofiileja)
 <!-- END doctoc generated TOC please keep comment here to allow auto update -->
 <!-- prettier-ignore-end -->
 <!-- editorconfig-checker-enable -->
 ## Nimipalvelin ehdotuksia
 - [AdGuard](https://adguard-dns.io/fi/public-dns.html)
  - Kyproslainen DNS-palvelintarjoaja mainoksenestolla. Palvelimia ympäri
    maailmaa.
  - [Yksityinen ECS](https://adguard-dns.io/en/blog/privacy-friendly-edns-client-subnet.html),
    jonka vuoksi usein päädyn siihen, mutta käytän kaikkia tällä sivulla
    mainitsemiani ristiin etenkin tietokoneella.
 - [DNS4EU](https://www.joindns4.eu/)
  - Euroopan Unionin rahoittama DNS-palvelu. Tarjoaa mm. haitallisten sivujen
    suodatusta, aikuissivustojen suodatusta, sekä mainostenestoa. Palvelimet
    sijaitsevan Euroopan Unionin jäsenvaltioissa.
 - [Quad9}(https://quad9.net/)
  - Sveitsiläinen voittoatavoittelematon DNS-palvelu haitallisten sivujen
    suodatuksella. Palvelimia ympäri maailmaa, mukaanlukien Helsingissä ja
    Tampereella. Yhteistyössä mm. F-Secure.
 ## Android
 _Mikäli puhelimessasi/tabletissasi ei ole omenan kuvaa tai et tiedä mikä
 käyttöjärjestelmä siinä on, kyseessä on todennäköisesti Android._
 Android on tukenut suojattua DNSää nimellä _Yksityinen DNS_ alkaen 9.
 julkaisustaan (elokuussa 2018 - tammikuuhun 2022) suoraan laitteen asetuksista.
 1. Avaa `Asetukset`
 1. `Verkko ja internet`
 1. `Yksityinen DNS`. Laitteesta riippuen tässä valikossa voi myös olla
   `Lisää verkkoasetuksia` tms., josta painaminen tuo asetuksen `Yksityinen DNS`
   näkyville. Molempien pitäisi olla valikon loppupuolella, ellei jopa viimeinen
   asetus.
 1. Valitse `Yksityisen DNS-tarjoajan isäntänimi` ja kirjoita haluamasi
   palvelimen osoite (ks. seuraavan alaotsikon alta) ja paina `Tallenna`.
 ### Ehdottamieni nimipalvelimien osoitteita
 Linkitin aiemmin näiden palveluntarjoajien kotisivuille, joista nämä tiedot
 löytyvät, mutta selkeyden vuoksi Android-käyttäjille:
 - `dns.adguard-dns.com` - AdGuard mainostenestolla.
 - `family.adguard-dns.com` - AdGuard mainosten- ja aikuisviihdesivustojen
  estolla.
 - `noads.joindns4.eu` - DNS4EU mainostenestolla.
 - `child-noads.joindns4.eu` - DNS4EU mainosten- ja aikuisviihdesivustojen
  estolla.
 - `protective.joindns4.eu` - DNS4EU vain haitallisten sivustojen estolla.
 - `child.joindns4.eu` - DNS4EU haitallisten sivustojen ja
  aikuisviihdepalveluiden estolla.
 - `dns.quad9.net` - Quad9 haitallisten sivustojen suodatuksella.
 - `dns11.quad9.net` - Quad9 haitallisten sivustojen suodatuksella, sekä
  ECS-tuella.
  - ECS kertoo kaikille nimipalvelimille IP-osoitteesi alun ja on
    yksityisyysuhka. Toisaalta suurimmat verkkopalvelut, kuten Netflix, YouTube
    ja Meta voivat toimia nopeammin.
 Tietoturva-asiantuntijana en voi mainita osoitteita, jotka eivät sisällä
 haittaohjelmasuojatusta.
 ### Verkko ei ole yhteydessä internetiin
 > Ei pääsyä yksityiselle DNS-palvelimelle
 Useimmiten tämä virheilmoitus ilmestyy käytetyn WLAN-tukiaseman palomuurin
 estäessä liikenteen TCP-porttiin 853, jota yksityinen DNS (teknisesti
 DNS-over-TLS käyttää), etenkin julkisissa verkoissa, kuten terveysasemalla,
 kirjastossa, metrossa, joissa yksityisen DNS:n käyttäminen olisi erittäin
 tärkeää.
 Paras ratkaisu olisi olla yhteydessä verkon ylläpitoon tai tekniseen tukeen ja
 vinkata heille miten portti 853 voisi olla hyvä sallia, linkittää heille
 valitsemasi DNS-palvelintarjoaja tai ehkä jopa tämä sivu.
 Olisiko mahdollista olla käyttämättä kyseistä WiFi-verkkoa ja sen sijaan käyttää
 vain mobiilidataa (vaikkakin se ei ole yhtä energiatehokasta)?
 Mikäli WiFi-verkon käyttäminen painaa vaakakupissa enemmän kuin tietoturva ja
 haitalliset sivustot eivät ole huoli, jäljelle jää yksityisen DNS:n
 käytöstäpoistaminen:
 - `Asetukset` -> `Verkko ja internet` -> (ehkä lisäasetukset tms. pohjalla ->)
  `Yksityinen DNS` -> `Automaattinen`
 Muista verkosta poistaessasi käydä valitsemassa
 `yksityisen DNS-tarjoajan isäntänimi` takaisin!
 Mitä automaattinen tarkoittaa? Android yrittää yhdistää tukiaseman määrittämään
 palvelimeen suojattua yhteyttä. Se onnistuu jos onnistuu, ja jos se epäonnistuu,
 käytetään suojaamatonta yhteyttä. Android ei myöskään tarkista SSL-varmennetta,
 joten ilman todella hyvää tuuria tämä ei lisää tietoturvaa yhtään, se vain on
 Androidin oletusasetus ja ehkä pienempi paha, kuin `Ei käytössä`.
 ## Apple
 _iOS, TvOS, iPadOS, macOS, yms._
 Applen laitteilla yksityisen DNS:n määrittäminen on tavallaan helpompaa,
 tavallaan vaikeampaa, verrattuna Androidiin.
 1. Avaa `Safari` -verkkoselain. Muut voivat toimia tai olla toimimatta.
 1. Mene haluamasi DNS-palveluntarjoajan sivustolle ja lataa asetusprofiili.
 1. Avaa `Asetukset` ja seuraa ohjeita.
 Löydät asentamasi DNS-pavelimet seuraavasti.
 1. Avaa `Asetukset`
 1. `Yleiset`
 1. `VPN ja laitehallinta`
 1. `DNS`. Valitse jokin muu kuin `Automaattinen`.
 ### Apple-asetusprofiileja
 Näitä linkkejä on huomattavasti helpompaa käyttää Apple-laitteella, joten avaa
 `aminda.eu/n/yksityinendns` sellaisella, ellet näin ole jo toiminut.
 - [AdGuard](https://adguard-dns.io/fi/public-dns.html)
  - Valitse `Vaihtoehto 2: Määritä AdGuard DNS manuaalisesti`, `iOS` ja paina
    `Lataa määritysprofiili`.
 - [DNS4EU](https://github.com/whalebone/DNS4EU-Public/tree/main/iOS/DoH)
  - En itsekään ymmärrä miten tämän on tarkoitus toimia käytännössä, joten
    suosittelen Apple-laitteiden käyttäjille jompaa kumpaa muuta
    palveluntarjoajaa.
 - [Quad9](https://docs.quad9.net/Setup_Guides/iOS/iOS_14_and_later_%28Encrypted%29/#download-profile)
  - Valitse `Recommended: HTTPS(.9)` tai `HTTPS(.11)` jos haluat ECS-tuen. Quad9
    on parhaat ohjeet, mutta valitettavasti vain englanniksi.
 - Epävirallisia asetusprofiileja (englanniksi):
  [encrypted-dns.party](https://encrypted-dns.party/)
  - Tämän takana on [nitrohorse](https://gitlab.com/nitrohorse), jonka kanssa
    työskentelin samanaikaisesti
    [PrivacyGuides.org](https://privacyguides.org) -[projektissa](https://github.com/privacyguides/privacyguides.org/graphs/contributors).
 Apple tukee molempia, DNS-over-HTTPS:ää ja DNS-over-TLS:ää, joista aiempi toimii
 käytännössä kaikkialla, toisin kuin Androidin DNS-over-TLS ("Yksityinen DNS"),
 joten Apple ei tarvitse tarkempaa ongelmanratkaisu-ohjetta minun puoleltani.