Je DoH totéž co VPN?

Ne. DoH šifruje pouze vaše DNS dotazy — tedy fázi vyhledávání doménových jmen. VPN šifruje veškerý váš internetový provoz a skrývá vaši IP adresu před navštívenými webovými stránkami. DoH nezakrývá vaši IP adresu a nechrání data, která odesíláte nebo přijímáte po navázání spojení s webovou stránkou. Jedná se o doplňkové nástroje, nikoli o alternativy.

Jak poznám, zda je v mém prohlížeči aktivní DoH?

Ve Firefoxu přejděte do Nastavení, poté do části Soukromí a zabezpečení a sjeďte dolů na DNS over HTTPS. V Chrome otevřete Nastavení, přejděte do části Soukromí a zabezpečení, klikněte na Zabezpečení a vyhledejte možnost „Použít zabezpečený DNS". Obě možnosti lze přepínat ručně a vybrat preferovaného DoH poskytovatele, například Cloudflare nebo Google.

Může DoH obejít veškerou cenzuru nebo blokování?

DoH dokáže obejít blokování prováděné na úrovni DNS, což je běžná metoda používaná poskytovateli internetových služeb k omezení přístupu na určité webové stránky. Nemůže však obejít blokování na základě IP adres, hloubkovou inspekci paketů (DPI) ani blokování samotných DoH resolverů. Pro komplexnější obcházení cenzury bývá nutné použít VPN nebo specializované nástroje.

Ohrožuje DoH soukromí v podnikových sítích?

Z pohledu správců sítí ano — DoH může obcházet interní DNS filtry, monitorovací nástroje a bezpečnostní zásady, protože DNS dotazy jsou šifrovány a směrovány mimo infrastrukturu společnosti. Z tohoto důvodu mnoho organizací buď blokuje veřejné DoH resolvery, nebo konfiguruje zařízení tak, aby používala interní DoH servery schválené podnikem.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): Co to je a proč na tom záleží

Pokaždé, když do prohlížeče zadáte adresu webové stránky, váš zařízení odešle dotaz: „Jaká je IP adresa této domény?" Tento dotaz se nazývá DNS dotaz a po desetiletí putoval internetem jako prostý text — zcela viditelný pro kohokoli, kdo sledoval síť. DNS over HTTPS (DoH) byl vytvořen právě proto, aby tento problém vyřešil.

Co to je

DNS over HTTPS je protokol, který zabalí vaše DNS dotazy do šifrovaného HTTPS provozu — stejného typu šifrování, které se používá při přihlášení do internetového bankovnictví nebo při nakupování online. Namísto toho, aby byly vaše DNS požadavky odesílány otevřeně, jsou zahrnuty do zabezpečených HTTPS připojení a odeslány na DNS resolver kompatibilní s DoH. Pro vnější pozorovatele provoz vypadá jako běžné procházení webu.

DoH byl standardizován organizací Internet Engineering Task Force (IETF) v dokumentu RFC 8484 v roce 2018 a od té doby byl implementován do hlavních prohlížečů jako Firefox, Chrome a Edge, stejně jako do operačních systémů Windows 11 a Android.

Jak to funguje

Zde je základní postup:

Do prohlížeče zadáte `example.com`.
Namísto odeslání nešifrovaného UDP požadavku na DNS server vašeho poskytovatele internetových služeb na portu 53 odešle vaše zařízení šifrovaný HTTPS požadavek na DoH resolver (například Cloudflare `1.1.1.1` nebo Google `8.8.8.8`) na portu 443.
Resolver vyhledá IP adresu a odešle odpověď zpět — stále šifrovanou přes HTTPS.
Váš prohlížeč se připojí k webové stránce.

Protože dotaz využívá port 443 (standardní HTTPS port), splyne s běžným webovým provozem. Pasivní pozorovatel ve vaší síti — ať už jde o poskytovatele internetových služeb, správce sítě nebo osobu provozující falešný Wi-Fi hotspot — nemůže snadno rozlišit vaše DNS dotazy od ostatního HTTPS provozu.

Proč na tom záleží pro uživatele VPN

Možná se ptáte: pokud již používám VPN, potřebuji DoH? Je to oprávněná otázka a odpověď závisí na vašem nastavení.

Bez VPN představuje DoH významné zlepšení ochrany soukromí. Váš poskytovatel internetových služeb již nemůže snadno zaznamenávat každou doménu, kterou navštívíte. To je obzvláště důležité vzhledem k tomu, že poskytovatelům internetových služeb je v mnoha zemích dovoleno — nebo dokonce nařízeno — shromažďovat a prodávat údaje o procházení webu.

S VPN by vaše DNS dotazy měly být již směrovány přes VPN tunel a přeloženy DNS servery poskytovatele VPN. Pokud však vaše VPN připojení přeruší nebo je špatně nakonfigurováno, může dojít k úniku DNS — vaše zařízení začne odesílat DNS dotazy mimo tunel a tím odhalí vaši aktivitu. Používání DoH společně s VPN (nebo výběr VPN, která DoH implementuje interně) přidává další vrstvu ochrany proti těmto únikům.

Stojí také za zmínku, že DoH samo o sobě není náhradou za VPN. DoH šifruje pouze fázi vyhledávání domény. Vaše skutečná IP adresa zůstává viditelná pro webové stránky, které navštěvujete, a váš poskytovatel internetových služeb stále může vidět, ke kterým IP adresám se připojujete — jen ne nutně to, které názvy domén tato připojení vyvolala.

Praktické příklady a případy použití

Veřejná Wi-Fi: Při připojení v kavárně nebo na letišti DoH zabrání provozovateli sítě v zaznamenávání vašich DNS dotazů nebo jejich přesměrování na manipulovaný server.
Obcházení základní cenzury: Někteří poskytovatelé internetových služeb blokují webové stránky zachytáváním DNS dotazů. DoH dokáže obejít blokování na úrovni DNS, protože dotazy jsou šifrovány a odesílány na externí resolver. (Poznámka: odhodlaní cenzoři stále mohou blokovat DoH resolvery podle IP adresy.)
Ochrana na úrovni prohlížeče: Firefox a Chrome umožňují aktivovat DoH přímo v nastavení, čímž zajišťují šifrované DNS i v případě, že nejste připojeni k VPN.
Podniková prostředí: Správci sítí o DoH často diskutují, protože může obcházet interní DNS kontroly. Mnoho organizací konfiguruje DoH tak, aby provoz procházel přes schválené interní resolvery namísto veřejných.

DoH vs. DoT

DoH je často srovnáváno s DNS over TLS (DoT), dalším protokolem pro šifrování DNS. Oba šifrují DNS provoz, ale DoT používá vyhrazený port (853), který mohou správci sítě snadno identifikovat a filtrovat. DoH splyne s běžným HTTPS provozem, takže je obtížnější ho blokovat — což je zároveň jeho předností z hlediska soukromí i důvodem obav z pohledu správy sítě.

DNS over HTTPS (DoH)Pokročilý