DNS μέσω HTTPS (DoH) χρησιμοποιεί το HTTPS πρωτόκολλο για την αποστολή και ανάκτηση κρυπτογραφημένων ερωτημάτων και απαντήσεων DNS. Το πρωτόκολλο DoH έχει δημοσιευτεί ως προτεινόμενο πρότυπο από το IETF as RFC 8484.
Τα ερωτήματα και οι απαντήσεις DNS έχουν αποσταλεί ιστορικά ως απλό κείμενο, ενδεχομένως υπονομεύοντας το απόρρητο των χρηστών του Διαδικτύου - συμπεριλαμβανομένων των επισκεπτών σε κρυπτογραφημένους ιστότοπους HTTPS. Το DoH εμποδίζει πιθανούς εισβολείς και / ή κυβερνητικές αρχές να διαβάζουν τα ερωτήματα DNS των χρηστών και επίσης θάβει την κίνηση DNS στη θύρα 443 (η τυπική θύρα HTTPS), όπου είναι δύσκολο να γίνει διάκριση από την άλλη κρυπτογραφημένη κίνηση.
DoH στο Chrome και στον Firefox
Πρόσφατες ανακοινώσεις από Google και Mozilla σχετικά με τις εφαρμογές του προγράμματος περιήγησης που έχουν θέσει το DoH στο προσκήνιο για τους χρήστες του διαδικτύου που αναζητούν προστασία της ιδιωτικής ζωής:
- Η Ιστολόγιο Chromium ανακοίνωσε στις 10 Σεπτεμβρίου 2019 ότι το Chrome 78 θα περιλαμβάνει ένα πείραμα που θα χρησιμοποιεί το DoH εάν ο υπάρχων πάροχος DNS του χρήστη βρίσκεται σε μια λίστα επιλεγμένων παρόχων συμβατών με DoH που περιλαμβάνονται στο πρόγραμμα περιήγησης. Εάν ο πάροχος του χρήστη δεν περιλαμβάνεται στη λίστα, το πρόγραμμα περιήγησης θα επιστρέψει στο πρωτόκολλο DNS απλού κειμένου.
- Mozilla ανακοίνωσε στις 6 Σεπτεμβρίου 2019 ότι θα κυκλοφορήσει το DoH ως προεπιλεγμένη ρύθμιση για το πρόγραμμα περιήγησης Firefox στις ΗΠΑ "ξεκινώντας στα τέλη Σεπτεμβρίου." Το σχέδιο του Mozilla έχει επικριθεί επειδή, σε αντίθεση με την εφαρμογή της Google, ο Firefox θα χρησιμοποιεί τους διακομιστές DoH του Cloudflare από προεπιλογή (αν και ο χρήστης μπορεί να καθορίσει χειροκίνητα έναν άλλο πάροχο).
Τι γίνεται με το DNS TLS?
Το DNS τελείωσε TLS (DoT), που δημοσιεύθηκε από το IETF σε RFC 7858 και 8310, είναι παρόμοιο με το DoH στο ότι κρυπτογραφεί ερωτήματα και απαντήσεις DNS. Ωστόσο, το DoT λειτουργεί μέσω θύρας 853 (σε αντίθεση με το λιμάνι της DoH 443). Για την υποστήριξη του DoT over DoH, ορισμένοι ειδικοί ασφαλείας δικτύου υποστηρίζουν ότι η χρήση μιας ξεχωριστής θύρας για αιτήματα DNS είναι απαραίτητη για την αποτελεσματική επιθεώρηση και έλεγχο της κυκλοφορίας.
