DNS su HTTPS (DoH) utilizza l' HTTPS protocollo per l'invio e il recupero di query e risposte DNS crittografate. Il protocollo DoH è stato pubblicato come standard proposto dal IETF as RFC 8484.
Le query e le risposte DNS sono state storicamente inviate come testo non crittografato, compromettendo potenzialmente la privacy degli utenti di Internet, inclusi i visitatori di siti Web HTTPS crittografati. DoH impedisce a potenziali aggressori e / o autorità governative di leggere le query DNS degli utenti e seppellisce anche il traffico DNS sulla porta 443 (la porta HTTPS standard), dove è difficile distinguere da altro traffico crittografato.
DoH in Chrome e Firefox
Annunci recenti di Google ed Mozilla sulle implementazioni dei loro browser hanno messo DoH sotto i riflettori per gli utenti di Internet alla ricerca di privacy:
- I Blog di Chromium ha annunciato il 10 settembre 2019 che Chrome 78 includerà un esperimento che utilizzerà DoH se il provider DNS esistente dell'utente si trova in un elenco di provider compatibili con DoH selezionati inclusi nel browser. Se il provider dell'utente non è nell'elenco, il browser tornerà al protocollo DNS in testo normale.
- Mozilla ha annunciato il 6 settembre 2019 che implementeranno DoH come impostazione predefinita per il browser Firefox negli Stati Uniti "a partire dalla fine di settembre". Il piano di Mozilla è stato criticato perché, a differenza dell'implementazione di Google, Firefox utilizzerà i server DoH di Cloudflare per impostazione predefinita (sebbene l'utente possa specificare manualmente un altro provider).
Che dire di DNS su TLS?
DNS finito TLS (DoT), pubblicato da IETF in RFC 7858 ed 8310, è simile a DoH in quanto crittografa le query e le risposte DNS; tuttavia, DoT opera sulla porta 853 (al contrario del port di DoH 443). A supporto di DoT su DoH, alcuni esperti di sicurezza della rete sostengono che l'utilizzo di una porta distinta per le richieste DNS è essenziale per un'efficace ispezione e controllo del traffico.