DNS sobre HTTPS (DoH) utiliza o HTTPS protocolo para enviar e recuperar consultas e respostas DNS criptografadas. O protocolo do DoH foi publicado como um padrão proposto pelo IETF as RFC 8484.
As consultas e respostas DNS têm sido historicamente enviadas como texto simples, comprometendo potencialmente a privacidade dos usuários da Internet - incluindo visitantes de sites HTTPS criptografados. O DoH impede que possíveis invasores e / ou autoridades governamentais leiam as consultas DNS dos usuários e também enterra o tráfego DNS na porta 443
(a porta HTTPS padrão), onde é difícil distinguir de outro tráfego criptografado.
DoH no Chrome e Firefox
Anúncios recentes de Google e Mozilla sobre as implementações de navegadores colocaram o DoH em destaque para os usuários da Internet que buscam privacidade:
- A Blog do Chromium anunciou em 10 de setembro de 2019 que o Chrome 78 incluirá um experimento que usará DoH se o provedor DNS existente do usuário estiver em uma lista de provedores compatíveis com DoH selecionados incluídos com o navegador. Se o provedor do usuário não estiver na lista, o navegador voltará ao protocolo DNS de texto simples.
- Mozilla anunciou em 6 de setembro de 2019, eles lançarão o DoH como configuração padrão para o navegador Firefox nos EUA "a partir do final de setembro". O plano da Mozilla foi criticado porque, ao contrário da implementação do Google, o Firefox usará os servidores DoH do Cloudflare por padrão (embora o usuário possa especificar manualmente outro provedor).
E o DNS sobre TLS?
DNS sobre TLS (DoT), publicado pela IETF em RFCs 7858 e 8310, é semelhante ao DoH, pois criptografa consultas e respostas DNS; no entanto, o DoT opera pela porta 853
(ao contrário da porta DoH 443
) Para dar suporte ao DoT sobre DoH, alguns especialistas em segurança de rede argumentam que o uso de uma porta distinta para solicitações de DNS é essencial para uma inspeção e controle eficazes do tráfego.