Förklaring av de sju dominerande VPN-protokollen
Valet av ett VPN-protokoll varierar beroende på vilken VPN-tjänst du använder.
Hos vissa VPN-tjänster kan du välja från ett brett utbud av protokoll. Hos andra VPN-tjänster kan du inte välja alls.
Varje protokoll kommer med sina egna styrkor och svagheter, och du måste förstå skillnaderna mellan dem för att kunna välja rätt protokoll för din internetaktivitet.
Nedan följer de sju vanligaste VPN-protokollen och deras fördelar:
1. OpenVPN: det bästa VPN-protokollet
| Fördelar | Nackdelar |
|---|---|
| stöds nativt av nästan alla VPN-tjänster | hög bandbreddsförbrukning |
| öppen källkod | inte det snabbaste VPN-protokollet som finns |
| har testats grundligt under lång tid | stor kodbas. |
| inga kända sårbarheter | |
| användare kan välja mellan UDP och TCP | |
| kompatibel med flera krypteringsalgoritmer, däribland AES-256 kompatibel med flera krypteringsalgoritmer, däribland AES-256 |
|
| stöder perfekt framåtsekretess | |
| det bästa VPN-protokollet de senaste två decennierna. |
SAMMANFATTNING: OpenVPN är fortfarande det bästa VPN-protokollet vi har testat. Det har varit branschens ledande VPN-protokoll i mer än ett decennium och balanserar oknäckbar säkerhet med snabb prestanda. Vi rekommenderar att alltid använda OpenVPN där det är möjligt.
OpenVPN skapades 2001 av James Yonan och anses vara det säkraste VPN-protokollet som finns.
Programvaran har öppen källkod och har funnits i över två decennier, vilket innebär att säkerhetsforskare har ägnat mycket tid åt att testa den för svagheter och sårbarheter.
I dagsläget har OpenVPN inga kända sårbarheter, så du kan vara säker på att din VPN-anslutning är privat och säker när du använder OpenVPN.
Protokollet är kompatibelt med flera krypteringsalgoritmer, däribland AES, Blowfish och ChaCha20.
OpenVPN är också ett väldigt konfigurerbart protokoll. Nästan alla VPN-appar stöder OpenVPN i själva designen av de flesta större plattformar, däribland Microsoft Windows, Apple macOS, Android, Linux och iOS.
Du kan vanligtvis ladda ned en konfigurationsfil som låter dig konfigurera en OpenVPN-anslutning manuellt för plattformar som inte stöds.
OpenVPN fungerar med två olika kommunikationsprotokoll: TCP och UDP. De är protokoll för transportlagret som styr hur försiktigt och noggrant dina data överförs på nätverket.
Den viktigaste skillnaden mellan dem är att OpenVPN UDP är snabbare, men OpenVPN TCP ger en mer tillförlitlig anslutning, eftersom det är bättre på att kringgå brandväggar.
Vårt råd är att alltid prova UDP för din VPN-anslutning. Om du märker att det inte fungerar byter du till TCP.
Den huvudsakliga nackdelen med OpenVPN är att det inte är lika snabbt, okonstlat eller effektivt som några av de andra VPN-protokollen. Hastigheterna är bra, men inte lika höga som WireGuard eller IKEv2.
Det är också VPN-protokollet med de högsta bandbreddskraven. Våra tester av VPN-tjänsters dataanvändning visar att mycket mer data förbrukas med OpenVPN än med något annat VPN-protokoll. Detta innebär att om du använder VPN-tjänsten på mobilen når du abonnemangets datagräns cirka 20 % snabbare.
När du bör använda OpenVPN:
- Om integritet och säkerhet är din absolut högsta prioritet bör du använda OpenVPN så mycket som möjligt.
När du inte bör använda OpenVPN:
- Om hastighet är viktigt för din aktivitet (t.ex. spelande).
- Om du använder VPN-tjänsten medan du är uppkopplad via mobildata (t.ex. 3G/4G). Du kommer att använda upp dina data snabbare och betala mer i roamingavgifter när du är utomlands.
2. WireGuard: Ett imponerande nytt protokoll
| Fördelar | Nackdelar |
|---|---|
| väldigt liten kodbas | det finns oro över integriteten i dess standardkonfiguration |
| ytterst snabba hastigheter | stöds ännu inte av alla VPN-tjänster |
| öppen källkod | inte helt beprövad än |
| begränsad dataförbrukning | kan endast användas med UDP. |
| inga kända säkerhetsproblem | |
| bra på att hantera nätverksförändringar | |
| stöder perfekt framåtsekretess | |
| väldigt lätt att konfigurera manuellt. |
SAMMANFATTNING: WireGuard är det nyaste VPN-protokollet, och på god väg att nå upp till samma nivå som OpenVPN. Prestandan och effektiviteten är utmärkt, och det finns inga tecken på sårbarheter (ännu). Om du inte oroas av hur nytt det är kan WireGuard vara det bästa VPN-protokollet för dig.
WireGuard är ett nytt tunnelprotokoll med öppen källkod som är utformat för att vara snabbare och effektivare än det mer populära OpenVPN-protokollet. En jämförelse av de två protokollen finns i vår djupgående guide WireGuard kontra OpenVPN.
WireGuard lanserades 2019 och har gjort ett stort avtryck i VPN-branschen. Många VPN-tjänster integrerade snabbt WireGuard i sin tjänst, och många har gjort det till sitt standardprotokoll.
WireGuard uppfyller många av skaparen Jason A. Donenfelds löften:
- Det är anmärkningsvärt snabbt. Enligt WireGuards interna tester är det över tre gånger snabbare än OpenVPN. Vi såg liknande resultat i våra egna tester, särskilt för långdistansanslutningar.
- Kodbasen är riktigt effektiv. WireGuard körs på endast 4 000 kodrader, vilket är ungefär 100 gånger mindre än motsvarande protokoll som OpenVPN och IKEv2. Detta är inte bara bra för prestandan utan bör också förbättra säkerheten. En mindre kodbas gör att protokollet är lättare att granska och minskar möjligheterna för hackare.
- Dataanvändningen är minimal. Våra tester visade att WireGuard är det VPN-protokoll som använder absolut minst bandbredd. Med WireGuard är datakonsumtionen bara 4 % mer än din normala, jämfört med OpenVPN:s 20 %. Läs mer om detta i vår guide till VPN-tjänster och mobildata.
WireGuards unga ålder är dess största negativa faktor för tillfället. Även prestandatesterna visar på väldigt bra resultat och det ännu inte finns tecken på några säkerhetsbrister kommer det att ta tid att etablera ett genuint förtroende.
Detta gäller även dess krypteringsalgoritm. WireGuard är inte kompatibelt med beprövade krypteringsalgoritmer, som AES-256. Istället används det relativt nya ChaCha20. Alla indikatorer tyder på att ChaCha20 är mycket säker och potentiellt ännu snabbare än AES, men för integritetsmedvetna användare tar det tid att acceptera ny krypteringsteknik.
Det finns också viss oro över integriteten i WireGuards standardkonfiguration. VPN-servrar måste temporärt logga din IP-adress för att protokollet ska fungera. Detta är inte ett krav med andra VPN-protokoll, vilket är bekymrade om det inte blir löst.
Lyckligtvis finns det åtgärder för att lösa problemet. NordVPN integrerar t.ex. WireGuard i sitt egenutvecklade Double NAT System för att skapa ett säkrare, specialanpassat protokoll, ”NordLynx”. På ett liknande sätt raderar Mullvad din IP-adress efter tio minuters inaktivitet.
Nedan har vi listat de VPN-tjänster som för närvarande stöder WireGuard:
- Astrill
- AzireVPN
- CactusVPN
- CyberGhost
- Hide.me
- IVPN
- Mullvad
- NordVPN
- PIA
- StrongVPN
- Surfshark
- TorGuard
- VPN.AC
- VyprVPN
- Windscribe.
Vi förväntar oss att antalet tjänster ökar i takt med att WireGuard får en bredare publik.
När du bör använda WireGuard:
- Alla tidiga indikatorer tyder på att WireGuard är lika säkert som OpenVPN och betydligt snabbare. Om du känner att du kan lita på ett nyare protokoll rekommenderar vi att du använder WireGuard för alla typer av aktiviteter.
- WireGuard är i synnerhet bra för mobila VPN-användare tack vare sin låga bandbreddsförbrukning.
När du inte bör använda WireGuard:
- Om du är särskilt försiktig med din integritet och säkerhet online kanske du föredrar att vänta tills det finns mer bevis på att WireGuard är genomgående bra. Du bör också vara försiktig med VPN-tjänster som inte vidtar åtgärder mot protokollets krav på IP-loggning.
- WireGuard är inte lika bra på att kringgå brandväggar som andra VPN-protokoll, eftersom det bara är kompatibelt med UDP. Om ditt mål är att kringgå censur kan ett annat protokoll vara bättre för dig.
3. IKEv2/IPSec: Bra protokoll för mobilanvändare
| Fördelar | Nackdelar |
|---|---|
| ger en mycket stabil anslutning | sluten källkod (utom på Linux) |
| ger höga hastigheter | möjligen infiltrerat av NSA |
| kompatibel med flera krypteringsalgoritmer, däribland AES-256 | dåligt på att kringgå brandväggar. |
| bra på att hantera nätverksförändringar | |
| stöder perfekt framåtsekretess. |
SAMMANFATTNING: IKEv2/IPSec är ett snabbt VPN-protokoll som ger en mycket stabil anslutning för mobila användare som regelbundet växlar mellan nätverk. Det finns misstankar om att det kan ha hackats av NSA, men för vanlig surf rekommenderar vi IKEv2 om du vill ha ett säkert protokoll.
Internet Key Exchange version 2 (IKEv2) är ett VPN-protokoll som är särskilt populärt bland mobilanvändare.
Det erbjuder väldigt snabba anslutningshastigheter och använder ett MOBIKE-protokoll för att sömlöst hantera nätverksförändringar. Detta gör att IKEv2 fungerar bra för mobila VPN-användare, som ofta växlar mellan mobildata och wifinätverk.
IKEv2 utvecklades i ett samarbete mellan Microsoft och Cisco och är en efterföljare till originalversionen IKEv1.
Vad är IPSec?
IKEv2 har ingen egen kryptering. Dess fokus är autentisering och att skapa en säker VPN-tunnel. Därför kombineras IKEv2 vanligtvis med IPSec (internet Protocol Security) för att skapa IKEv2/IPSec.
IPSec är en uppsättning säkerhetsprotokoll som använder 256-bitars krypteringsalgoritmer, t.ex. AES, Camellia eller ChaCha20. När IKEv2 har upprättat en säker anslutning mellan din enhet och VPN-servern krypterar IPSec dina data innan de åker igenom tunneln.
IKEv2/IPSec stöds av de flesta VPN-tjänster, men de har tyvärr en kodbas med sluten källkod.
På avstånd verkar protokollet säkert, men utan insynen som kommer med öppen källkod är det omöjligt att kontrollera att Microsoft inte har byggt in bakdörrar eller andra sårbarheter.
OBS! Linuxversionerna av IKEv2/IPSec kommer med öppen källkod, och ingenting negativt med protokollet har framkommit från granskningarna som gjorts. Därför är det mindre oroande att IKEv2 är ett protokoll med sluten källkod, jämfört med andra protokoll med sluten källkod som SSTP.
Säkerhetsforskare som Edward Snowden har också påstått att IPSec medvetet försvagades under skapandet. Även om detta är obekräftat finns det avsevärda misstankar om att alla IPSec-baserade VPN-protokoll kan vara infiltrerade av NSA.
Det finns inget som tyder på att IKEv2/IPSec inte skyddar mot mindre sofistikerade motståndare, t.ex. vanliga hackare eller internetleverantörer. Det är ett snabbt, flexibelt och mestadels säkert VPN-protokoll som kommer att fungera bra på din mobiltelefon.
IKEv2 fungerar endast på UDP-port 500. Det är en enkel port för brandväggar och wifiadministratörer att blockera, vilket innebär att IKEv2/IPSec inte är något bra VPN-protokoll för att kringgå censur på platser som Kina eller Ryssland.
När du bör använda IKEv2/IPSec:
- Om du använder en VPN-tjänst på din mobil och regelbundet växlar mellan wifi och mobildata (t.ex. 3G/4G).
När du inte bör använda IKEv2/IPSec:
- Om du försöker kringgå brandväggar på din skolas eller arbetsplats lokala nätverk, eller kringgå censur i ett auktoritärt land.
- Om du är särskilt orolig för din integritet och anonymitet. IKEv2 är ett protokoll med sluten källkod och IPSec har en möjlig koppling till NSA, vilket är tillräckligt för att tvivla på integritetsskyddet i IKEv2/IPSec.
4. SoftEther: Bra på att kringgå censur
| Fördelar | Nackdelar |
|---|---|
| öppen källkod | släpptes så sent som 2014 |
| mycket höga hastigheter | kräver manuell konfiguration för att vara säkert |
| kompatibel med flera krypteringsalgoritmer, däribland AES-256 | saknar internt stöd på alla operativsystem |
| bra på att kringgå brandväggar. | endast kompatibelt med ett fåtal VPN-tjänster. |
SAMMANFATTNING: SoftEther är ett väldigt snabbt och relativt säkert protokoll. Det är särskilt bra på att kringgå censur, men användare bör vara medvetna om dess standardkonfigurationsinställningar och bristen på kompatibilitet med vanliga VPN-tjänster.
SoftEther är ett VPN-protokoll med öppen källkod som ursprungligen utvecklades som en del av en masteruppsats vid Tsukubas universitet.
SoftEther släpptes 2014 och är ett av de nyare VPN-protokollen som finns tillgängliga. Tidiga tecken tyder på att det har bra säkerhet utan att kompromissa med hastigheten.
SoftEther har stöd för starka krypteringsalgoritmer, däribland AES-256 och RSA-4096. Deras hastigheter uppges också vara 13 gånger snabbare än OpenVPN:s.
Det är också väl utformat för att kringgå strikt webbcensur. SoftEther baserar sina krypterings- och autentiseringsprotokoll på OpenSSL. Precis som med SSTP och OpenVPN innebär detta att den kan använda TCP-port 433, som det är väldigt svår för brandväggar och censursystem att blockera.
Under 2018 granskades SoftEthers säkerhet under 80 timmar, vilket avslöjade elva säkerhetsbrister. Dessa åtgärdades i en efterföljande uppdatering, men forskare vid Aalto-universitetet har nyligen upptäckt att SoftEther ibland är mottagligt för MITM-attacker.
Detta beror på serverns certifikat inte verifieras av klienter i standardkonfigurationen. Hackare kan därför imitera en VPN-server och få tillgång till användaruppgifter och onlineaktivitet.
När du använder SoftEther bör du se till att kryssa i rutan Always Verify Server Certificate i inställningarna för New VPN Connection.
SoftEthers standardinställning omfattar inte servercertifikatsverifiering.
SoftEther stöds inte internt i något operativsystem och du kan endast använda det med ytterst få VPN-leverantörer just nu. Av dem vi har testat är det bara Hide.me och CactusVPN som stöder SoftEther-protokollet.
När du bör använda SoftEther:
- Om din VPN-tjänst stöder det kan du använda SoftEther för snabb och säker surfning.
- Det är särskilt bra på att kringgå brandväggar och censur.
När du inte bör använda SoftEther:
- Börja inte använda SoftEther förrän du har aktiverat ”Always Verify Server Certificate”.
5. L2TP/IPSec: Långsamt och inte värt att använda
| Fördelar | Nackdelar |
|---|---|
| dubbel inkapsling ger ökad säkerhet | möjligen infiltrerat av NSA |
| stöds nativt på de flesta plattformar | långsammare än andra VPN-protokoll |
| kompatibel med flera krypteringsalgoritmer, däribland AES-256. | mottaglig för MITM-attacker (man-i-mitten). |
SAMMANFATTNING: L2TP/IPSec är ett relativt långsamt VPN-protokoll som kräver åtgärder för att användas på ett säkert sätt. Och även då är det helt enkelt inte värt det. Det finns nästan alltid ett säkrare och snabbare VPN-protokoll tillgängligt.
Layer 2 Tunneling Protocol (L2TP) skapades 1999 som en efterföljare till PPTP och är ett användarvänligt protokoll som stöds i designen i de flesta VPN-tjänster på de flesta enheter.
Precis som IKEv2 kombineras L2TP med IPSec för att skapa det hybrida VPN-protokollet L2TP/IPSec. Tyvärr innebär detta att det finns samma oro över integriteten – utpekat av Edward Snowden – att IPSec kan ha infiltrerats av NSA.
Det finns också en separat säkerhetsbrist i L2TP. Problemet uppstår när det används med en VPN-tjänst som använder i förväg delade nycklar.
Om VPN-krypteringsnycklarna är tillgängliga för nedladdning online öppnar det upp för hackare att förfalska autentiseringsuppgifter, imitera din VPN-server och avlyssna din anslutning. Detta kallas en MITM-attack (man-i-mitten).
Med L2TP erbjuds funktionen dubbel inkapsling, vilket ger dina data dubbelt skydd. Detta förbättrar säkerheten i protokollet, men gör det också mycket långsammare.
Äldre protokoll som L2TP kan också vara inkompatibla med NAT, vilket kan leda till anslutningsproblem. Om så är fallet måste du använda en genomströmningsfunktion för VPN på din router för att ansluta till VPN med L2TP.
L2TP/IPSec är det långsammaste VPN-protokollet på den här listan.
När du bör använda L2TP/IPSec:
- Vi avråder från att använda L2TP/IPSec.
När du inte bör använda L2TP/IPSec:
- Använd inte L2TP om du hanterar personuppgifter, oroar dig för NSA-övervakning eller använder en VPN-tjänst som offentligt delar sina krypteringsnycklar online.
6. SSTP: Sluten källkod med potentiella risker
| Fördelar | Nackdelar |
|---|---|
| bra på att kringgå brandväggar | sluten källkod |
| lätt att ställa in på Windows | kan vara mottagligt för MITM-attacker |
| använder stark AES-256-kryptering. | oroväckande kopplingar till NSA. |
SAMMANFATTNING: SSTP är ett bra VPN-protokoll sett till prestanda. Det är ganska snabbt och mycket bra på att kringgå censur. Det har dock några anmärkningsvärda problem gällande integritet och säkerhet. På grund av detta bör du, om du kan, undvika att använda SSTP för känslig trafik.
Secure Socket Tunneling Protocol (SSTP) är ett proprietärt protokoll som ägs och drivs av Microsoft. Protokollet kommer med sluten källkod, så detaljerna kring dess utförande är oklara.
Vi vet att SSTP är baserat på krypteringsstandarderna SSL/TLS.
Detta är bra eftersom det gör det möjligt att använda SSTP med TCP port 443. Detta är den port som används för all vanlig HTTPS-trafik, vilket innebär att det är mycket svårt att blockera den med brandväggar.
På grund av detta är SSTP ett bra VPN-protokoll om du försöker kringgå censur, t.ex. kinesiska brandväggen.
Å andra sidan är SSL 3.0 sårbar för en viss sorts MITM-attack som kallas POODLE. Det är inte bekräftat att SSTP också påverkas av den här typen av sårbarhet, men vi tycker inte att det är värt risken.
Ett annat problem är Microsofts tidigare samarbete med NSA. Eftersom det är ett protokoll med sluten källkod som är skapat av Microsoft finns det en möjlighet att NSA har byggt in en bakdörr.
När du bör använda SSTP:
- Om du försöker kringgå statliga brandväggar eller brandväggar i skolan eller på jobbet, och det inte finns något bättre protokoll tillgängligt.
När du inte bör använda SSTP:
- Med tanke på risken för en POODLE-attack och/eller NSA-övervakning bör du inte använda SSTP för någon aktivitet där din integritet, säkerhet eller anonymitet är av yttersta vikt.
7. PPTP: Föråldrat och inte säkert
| Fördelar | Nackdelar |
|---|---|
| väldigt höga hastigheter | kända säkerhetsbrister |
| stöds i själva designen på de flesta plattformar | inte kompatibelt med 256-bitars krypteringsnycklar |
| lätt att installera. | kringgår inte censur |
| enligt uppgift knäckt av NSA | |
| ineffektivt som integritetsverktyg. |
SAMMANFATTNING: PPTP är snabbt eftersom det inte skyddar dina data. Om du använder PPTP för att skapa din VPN-tunnel är det lätt hänt att din trafik exponeras för avlyssning, och det är osannolikt att du kommer att kunna kringgå geografiska begränsningar eller brandväggar.
PPTP (Point-to-Point Tunneling Protocol) var det första VPN-protokollet. Det utvecklades 1996 av Microsofts ingenjör Gurdeep Singh-Pall och utgör VPN-teknikens uppkomst.
Numera är PPTP föråldrat och inte alls säkert att använda i en VPN-tjänst för konsumenter.
Vi avråder från att använda PPTP såvida det inte är absolut nödvändigt. Det är ett föråldrat verktyg både vad gäller integritet och säkerhet.
Du får höga hastigheter med PPTP, men detta beror delvis på att den starkaste krypteringsnyckeln den kan användas med är 128-bitars. Det är inte kompatibelt med AES-256-krypteringsalgoritmen som de säkraste VPN-tjänsterna använder.
Protokollet kompromissar med säkerheten för att få snabbare hastighet på ett sätt som lett till flera kända sårbarheter. Det finns t.ex. bevis på att en skicklig hackare kan hacka sig in i en PPTP-krypterad VPN-anslutning på bara några minuter.
Enligt uppgift har även NSA utnyttjat PPTP:s sårbarheter för att samla in stora mängder data från VPN-användare.
Även om det fortfarande ibland används för företags VPN-nätverk bör du definitivt undvika att använda PPTP med din personliga VPN-tjänst. Vissa VPN-leverantörer har t.o.m. valt att sluta stöda PPTP helt och hållet p.g.a. dess sårbarheter.
När du bör använda PPTP:
- Vi avråder dig från att använda PPTP. Det enda undantaget är om du bara söker höga hastigheter och inte bryr dig om integritet eller säkerhet.
När du inte bör använda PPTP:
- Det är särskilt viktigt att du aldrig använder PPTP för aktiviteter som involverar känslig information, t.ex. bankuppgifter eller lösenord.
Proprietära VPN-protokoll
I ett antal VPN-tjänster ingår inte bara de protokoll som listas ovan. Många tjänster skapar också sina egna protokoll. Dessa kallas proprietära VPN-protokoll.
Det finns både för- och nackdelar med att använda ett proprietärt VPN-protokoll. Den viktigaste fördelen är att det sannolikt kommer att vara snabbare än de andra alternativen som erbjuds.
Efter att ha ägnat tid åt och spenderat pengar på att skapa ett nytt protokoll är det bara logiskt att en VPN-tjänst avsätter sina bästa servrar och sin bästa infrastruktur för att göra det så snabbt som möjligt. Det är även vanligt att leverantörerna hävdar att det är säkrare.
Å andra sidan får vi oftast nästintill ingen information alls om de här protokollen.
Protokoll med öppen källkod som OpenVPN har studerats av tusentals människor för att se till att det är säkert och fungerar exakt som det utlovas. Proprietära VPN-protokoll kommer oftast med sluten källkod, så det är mycket svårt att veta exakt vad som pågår bakom kulisserna.
Det är få VPN-leverantörer som använder sitt eget VPN-protokoll, men de blir fler och fler. Här är några protokoll att titta efter:
- Astrill – OpenWeb och StealthVPN
- ExpressVPN – Lightway
- Hotspot Shield – Catapult Hydra
- Hidester – CamoVPN
- NordVPN – NordLynx
- VPN Unlimited – KeepSolid Wise
- VyprVPN – Chameleon
- X-VPN – Protocol X.
