CensurfriDNS

CensurfriDNS blev startet i november 2009. På det tidspunkt arbejdede jeg hos en ISP hvor et af mine (modvillige) ansvarsområder var at administrere de censurerede DNS servere som alle danske internetudbydere skal køre for deres kunder. Jeg har aldrig været en stor fan af det danske DNS censur system, og det hjalp bestemt ikke at arbejde med det.

I 2009 var DNS økosystemet på internettet meget anderledes fra i dag. Googles, Cloudflares og Quad9s DNS tjenester eksisterede ikke endnu. Venner og familie spurgte efter anbefalinger til et alternativ til internetudbydernes censurerede DNS servere.

OpenDNS (som i dag er ejet af Cisco) fandtes i 2009, men dengang lavede de NXDOMAIN redirection, en lusket reklameteknik hvor domæner der ikke findes (f.eks. grundet en stavefejl) bliver viderestillet til en søgeside med reklamer istedet for at give en NXDOMAIN fejl. De er siden stoppet med at gøre det, men det viste ret tydeligt hvilket slags firma det var. De havde desuden hverken ipv6 eller DNSSEC, begge dele var selv i 2009 nødvendige dele af en moderne DNS server.

Selv hvis Google, Cloudflare eller Quad9 havde eksisteret dengang ville jeg stadig ikke have haft det godt med at anbefale dem. De kører stabile, hurtige og rimeligt ucensurerede DNS tjenester, men jeg er ikke overbevist om at det er en god ide at aflevere alle ens DNS opslag til Google (eller nogen andre store virksomheder). Internettet ville være langt bedre tjent med en masse mindre community-drevne decentrale tjenester.

Jeg var heldig at være i en position hvor jeg kunne gøre noget ved det, så i oktober 2009 startede jeg CensurfriDNS med hjælp fra venner. Efter noget tid begyndte jeg også at holde foredrag om projektet på diverse konferencer, da folk naturligt har lettere ved at stole på en tjeneste hvis de ved hvem der står bag. Du kan se nogen af mine gamle foredrag online, for eksempel fra RIPE65.

I 2014 fik jeg en IP allokering fra RIPE som førte til introduktionen af anycast.censurfridns.dk - til at begynde med bare med to lokationer. At anycaste den ene node giver langt bedre redundans og performance, og samtidig giver det mig mere frihed til at lave maintenance uden at have nedetid.

Siden medio 2017 har det været muligt at lave krypterede DNS opslag. DNS-over-TLS (RFC7858) support blev tilføjet med nginx (som proxy til bind tcp port 53), og på samme tid blev de offentlige TLS nøgler publiceret i TLSA records og på dette website. Det gav mulighed for at pinne de offentlige nøgler.

I 2020 blev DNS-over-HTTPS (RFC8484) support introduceret med dnsdist, og på samme tid blev DoT skiftet fra nginx til dnsdist, stadig med bind som backend. Introduktionen af dnsdist gør det muligt senere at skifte backend rekursiv software, eller at køre forskellige backends på forskellige anycast noder.

I oktober 2022 blev klartekst UDP/TCP port 53 DNS opslag slået fra, 13 år efter tjenestens fødsel. Kun de moderne DNS-over-TLS og DNS-over-HTTPS protokoller vil være understøttet fremover.