DNS przez HTTPS (DoH) używa HTTPS protokół wysyłania i pobierania zaszyfrowanych zapytań i odpowiedzi DNS. Protokół DoH został opublikowany jako proponowany standard przez IETF as RFC 8484.
Zapytania i odpowiedzi DNS były w przeszłości wysyłane jako zwykły tekst, potencjalnie zagrażając prywatności użytkowników Internetu - w tym odwiedzających zaszyfrowane witryny HTTPS. DoH uniemożliwia potencjalnym napastnikom i / lub władzom odczytywanie zapytań DNS użytkowników, a także blokuje ruch DNS na porcie 443
(standardowy port HTTPS), w którym trudno jest odróżnić od innego zaszyfrowanego ruchu.
DoH w Chrome i Firefox
Najnowsze ogłoszenia od Google i Mozilla o ich implementacjach w przeglądarkach umieścił DoH w centrum uwagi dla poszukujących prywatności użytkowników Internetu:
- Opona Blog Chromium ogłosił 10 września 2019 r., że Chrome 78 będzie zawierał eksperyment, który będzie używał DoH, jeśli obecny dostawca DNS użytkownika znajduje się na liście wybranych dostawców kompatybilnych z DoH dołączonych do przeglądarki. Jeśli dostawcy użytkownika nie ma na liście, przeglądarka powróci do protokołu DNS w postaci zwykłego tekstu.
- Mozilla ogłosił 6 września 2019 r. wprowadzą DoH jako domyślne ustawienie swojej przeglądarki Firefox w USA „od końca września”. Plan Mozilli został skrytykowany, ponieważ w przeciwieństwie do implementacji Google, Firefox będzie domyślnie korzystał z serwerów Cloudflare DoH (chociaż użytkownik może ręcznie określić innego dostawcę).
Co z DNS ponad TLS?
DNS ponad TLS (DoT), opublikowane przez IETF w RFC 7858 i 8310, jest podobny do DoH, ponieważ szyfruje zapytania i odpowiedzi DNS; jednak DoT działa przez port 853
(w przeciwieństwie do portu DoH 443
). Popierając DoT w porównaniu z DoH, niektórzy eksperci ds. Bezpieczeństwa sieci twierdzą, że użycie odrębnego portu dla żądań DNS jest niezbędne dla skutecznej kontroli i kontroli ruchu.