DNS přes HTTPS (DoH) používá HTTPS protokol pro odesílání a získávání šifrovaných dotazů a odpovědí DNS. Protokol DoH byl publikován jako navrhovaný standard organizací IETF as RFC 8484.
DNS dotazy a odpovědi byly historicky odesílány jako prostý text, což potenciálně ohrožuje soukromí uživatelů internetu - včetně návštěvníků šifrovaných HTTPS webů. DoH brání potenciálním útočníkům a / nebo vládním úřadům ve čtení dotazů uživatelů DNS a také zahlcuje provoz DNS na portu 443
(standardní port HTTPS), kde je obtížné rozlišit od jiného šifrovaného přenosu.
DoH v prohlížeči Chrome a Firefox
Poslední oznámení od Google a Mozilla o implementacích jejich prohlížečů udělaly DoH v centru pozornosti uživatelů internetu, kteří hledají soukromí:
- Projekt Blog Chromium 10. září 2019 oznámilo, že Chrome 78 bude obsahovat experiment, který bude používat DoH, pokud je stávající poskytovatel DNS uživatele na seznamu vybraných poskytovatelů kompatibilních s DoH, které jsou součástí prohlížeče. Pokud poskytovatel uživatele není na seznamu, prohlížeč přejde zpět na protokol DNS ve formátu prostého textu.
- Mozilla oznámila, 6. září 2019 uvedou DoH jako výchozí nastavení pro svůj prohlížeč Firefox v USA „od konce září“. Plán Mozilly byl kritizován, protože na rozdíl od implementace Google bude Firefox ve výchozím nastavení používat servery DoH Cloudflare (i když uživatel může ručně zadat jiného poskytovatele).
A co DNS? TLS?
DNS skončilo TLS (DoT), publikoval IETF v RFC 7858 a 8310, je podobný DoH v tom, že šifruje dotazy a odpovědi DNS; DoT však pracuje přes port 853
(na rozdíl od přístavu DoH 443
). Na podporu DoT over DoH někteří odborníci na síťovou bezpečnost tvrdí, že pro efektivní kontrolu a kontrolu provozu je nezbytné používat samostatný port pro požadavky DNS.