CNAME-maskering är en av de mest tekniskt avancerade metoderna för att undvika spårningsskydd som används idag. Genom att delegera en förstapartsunderdomän till en tredjepartsspårningsleverantör via DNS kan organisationer i praktiken dölja tredjepartscookies som förstapartscookies — och därigenom kringgå de flesta annonsblockerare och webbläsarnas integritetsskydd.
Tekniken fungerar så här: istället för att ladda en spårningspixel från tracker.example.com (som webbläsare och annonsblockerare enkelt identifierar som tredjepartsinnehåll) skapar webbplatsen en underdomän som analytics.minwebbplats.se och pekar den mot spårningsleverantörens infrastruktur. Cookies som sätts under analytics.minwebbplats.se ser ut att vara förstapartscookies och undviker därmed de begränsningar som webbläsare tillämpar på tredjepartscookies.
Ur ett GDPR-perspektiv väcker CNAME-maskering allvarliga farhågor. Artikel 5.1 a kräver att personuppgifter behandlas lagligt, korrekt och på ett öppet sätt. När en organisation använder tekniska trick på domännivå för att kringgå en användares uttryckliga integritetsval (som att aktivera en annonsblockerare) är det svårt att hävda att behandlingen är öppen eller korrekt.
E-dataskyddsdirektivet förstärker problematiken. Artikel 5.3 kräver samtycke för att lagra eller komma åt information på en användares enhet — oavsett om tekniken klassificeras som förstaparts- eller tredjepartsteknik. EU-domstolens Planet49-dom klargjorde att samtycke måste vara specifikt och informerat. Användare som tror att de har blockerat spårare kan inte anses ha samtyckt till samma spårning som levereras genom en annan teknisk mekanism.
Vår forskning på Vakteye visar att ungefär 15 % av företagswebbplatser i EU använder någon form av CNAME-maskering. De vanligaste leverantörerna inkluderar vissa analys- och marknadsföringsplattformar som erbjuder CNAME-konfiguration som en premiumfunktion. Många organisationer implementerar det utan att fullt ut förstå konsekvenserna för regelefterlevnaden.
Att upptäcka CNAME-maskering kräver en djupgående analys av hur domännamn är sammankopplade bakom kulisserna — något som traditionella cookieskannrar helt missar. Vakteyes skanningsmotor spårar varje domän som sätter cookies tillbaka till dess verkliga ägare och flaggar fall där en till synes egen underdomän i själva verket leder till en känd tredjepartsspårare. Det gör att vi kan identifiera dold spårning som annars hade förblivit oupptäckt.