DNS via HTTPS (DoH) använder HTTPS protokoll för att skicka och hämta krypterade DNS-frågor och svar. DoH-protokollet har publicerats som en föreslagen standard av IETF as RFC 8484.
DNS-frågor och svar har historiskt skickats som klartext, vilket potentiellt äventyrar internetanvändarnas integritet - inklusive besökare på krypterade HTTPS-webbplatser. DoH hindrar potentiella angripare och / eller statliga myndigheter från att läsa användarnas DNS-frågor, och begraver också DNS-trafik i hamnen 443
(standard HTTPS-porten), där det är svårt att skilja från annan krypterad trafik.
DoH i Chrome och Firefox
Senaste tillkännagivanden av Google och Mozilla om deras webbläsarimplementeringar har gjort DoH i rampljuset för privatlivssökande internetanvändare:
- Smakämnen Chromium-blogg meddelade den 10 september 2019 att Chrome 78 kommer att inkludera ett experiment som kommer att använda DoH om användarens befintliga DNS-leverantör finns på en lista över utvalda DoH-kompatibla leverantörer som ingår i webbläsaren. Om användarens leverantör inte finns med i listan faller webbläsaren tillbaka till DNS-protokollet med vanlig text.
- Mozilla meddelade den 6 september 2019 kommer de att lansera DoH som standardinställning för sin Firefox-webbläsare i USA "med början i slutet av september." Mozillas plan har kritiserats eftersom Firefox, till skillnad från Googles implementering, använder Cloudflares DoH-servrar som standard (även om användaren kan ange en annan leverantör manuellt).
Vad sägs om DNS över TLS?
DNS över TLS (DoT), publicerad av IETF i RFC 7858 och 8310, liknar DoH genom att det krypterar DNS-frågor och svar; dock fungerar DoT via port 853
(i motsats till DoHs port 443
). Som stöd för DoT över DoH hävdar vissa nätverkssäkerhetsexperter att användning av en distinkt port för DNS-förfrågningar är avgörande för effektiv trafikinspektion och kontroll.