DNS over HTTPS (DoH) bruker HTTPS protokoll for sending og henting av krypterte DNS-spørsmål og svar. DoH-protokollen er publisert som en foreslått standard av IETF as RFC 8484.
DNS-spørsmål og svar har historisk blitt sendt som ren tekst, noe som potensielt kompromitterer personvernet til internettbrukere - inkludert besøkende til krypterte HTTPS-nettsteder. DoH forhindrer potensielle angripere og / eller offentlige myndigheter fra å lese brukernes DNS-spørsmål, og begraver også DNS-trafikk på havnen 443 (standard HTTPS-porten), der det er vanskelig å skille fra annen kryptert trafikk.
DoH i Chrome og Firefox
Nylige kunngjøringer av Google og Mozilla om nettleserimplementeringene deres har satt DoH i søkelyset for Internett-brukere som søker personvern:
- De Chromium Blog kunngjorde 10. september 2019 at Chrome 78 vil inkludere et eksperiment som vil bruke DoH hvis brukerens eksisterende DNS-leverandør er på en liste over utvalgte DoH-kompatible leverandører som følger med nettleseren. Hvis brukerens leverandør ikke er på listen, vil nettleseren falle tilbake til DNS-protokollen i ren tekst.
- Mozilla annonsert 6. september 2019 at de vil lansere DoH som standardinnstilling for Firefox-nettleseren i USA "starter i slutten av september." Mozillas plan har blitt kritisert fordi Firefox, i motsetning til Googles implementering, vil bruke Cloudflares DoH-servere som standard (selv om brukeren kan spesifisere en annen leverandør manuelt).
Hva med DNS over TLS?
DNS over TLS (DoT), utgitt av IETF i RFC-er 7858 og 8310, ligner på DoH ved at den krypterer DNS-spørsmål og svar; DoT opererer imidlertid over port 853 (i motsetning til DoHs port 443). Til støtte for DoT over DoH, hevder noen nettverkssikkerhetseksperter at bruk av en distinkt port for DNS-forespørsler er viktig for effektiv trafikkinspeksjon og -kontroll.