DNS over TLS (DoT)Pokročilý

DNS over TLS (DoT): Ochrana soukromí při vyhledávání domén

Pokaždé, když do prohlížeče zadáte adresu webové stránky, váš zařízení odešle DNS dotaz – v podstatě se ptá serveru: „Jaká je IP adresa této domény?" Tradičně tyto dotazy putují internetem jako prostý text, což znamená, že váš poskytovatel internetu, správci sítě nebo kdokoli, kdo monitoruje vaše připojení, může přesně vidět, které webové stránky se pokoušíte navštívit. DNS over TLS, běžně zkracovaný jako DoT, byl navržen právě k vyřešení tohoto problému.

Co to je

DNS over TLS je síťový protokol, který zabaluje vaše DNS dotazy do šifrovaného připojení TLS (Transport Layer Security) – stejné technologie, která chrání váš internetový banking nebo přihlášení k e-mailu. Namísto odesílání požadavků „kde se nachází tato webová stránka?" bez jakékoli ochrany zajišťuje DoT jejich zašifrování ještě před opuštěním vašeho zařízení. Protokol byl formálně standardizován v roce 2016 v rámci RFC 7858 a od té doby byl přijat předními DNS resolvery včetně Cloudflare (1.1.1.1), Google (8.8.8.8) a dalšími.

Jak funguje

Normálně DNS provoz probíhá přes port 53 a využívá UDP nebo TCP bez jakéhokoli šifrování. DoT to mění tím, že navazuje vyhrazené TLS připojení přes port 853. Zde je základní průběh:

1. Vaše zařízení (nebo DNS resolver) zahájí TLS handshake s DNS serverem a ověří jeho identitu pomocí digitálních certifikátů.
2. Jakmile je šifrovaný tunel navázán, váš DNS dotaz jím prochází – zcela skryt před vnějšími pozorovateli.
3. DNS server zpracuje požadavek a odešle odpověď zpět stejným šifrovaným kanálem.
4. Vaše zařízení použije vrácenou IP adresu pro připojení k webové stránce.

Protože DoT funguje na vyhrazeném portu (853), správci sítě a firewally mohou snadno identifikovat a případně blokovat provoz DoT. To je jeden klíčový rozdíl oproti jeho blízkému příbuznému, DNS over HTTPS (DoH), který splývá s běžným webovým provozem na portu 443 a je obtížnější ho blokovat.

Proč je to důležité pro uživatele VPN

Možná si říkáte – pokud již používám VPN, musím se o DoT starat? Je to spravedlivá otázka. VPN při správné konfiguraci šifruje veškerý váš provoz, včetně DNS dotazů. Existují však některé důležité nuance:

• DNS úniky: Pokud klient VPN není správně nakonfigurován, DNS požadavky mohou někdy obejít šifrovaný VPN tunel a v podobě prostého textu putovat přímo k resolveru vašeho poskytovatele internetu. DNS únik může odhalit vaši aktivitu při procházení webu, i když si myslíte, že jste chráněni. DoT poskytuje další vrstvu šifrování, která pomáhá toto riziko zmírnit.
• Prostředí bez VPN: Ne každý používá VPN neustále. Na otevřených Wi-Fi sítích, v práci nebo při mobilních datech chrání DoT vaše DNS dotazy nezávisle na VPN.
• Sledování a omezování poskytovatelem internetu: Bez šifrovaného DNS může váš poskytovatel internetu zaznamenávat každou navštívenou doménu a potenciálně tato metadata prodávat nebo využívat k omezování konkrétních služeb. DoT jim brání v čtení těchto dotazů.

Praktické příklady a způsoby využití

Zabezpečení domácí sítě: Konfigurace routeru nebo lokálního DNS resolveru tak, aby používal DoT (s odkazem na resolver zaměřený na soukromí, jako je Cloudflare nebo Quad9), znamená, že každé zařízení ve vaší síti těží ze šifrovaných DNS vyhledávání – bez nutnosti instalovat cokoli navíc na každé zařízení.

Mobilní soukromí: Android 9 a novější obsahuje vestavěnou funkci „Privátní DNS", která nativně podporuje DoT. Tuto funkci lze aktivovat v nastavení a směrovat všechny DNS dotazy přes šifrovaný resolver bez jakékoli aplikace třetí strany.

Podnikové sítě: IT týmy využívají DoT k tomu, aby zabránily zaměstnancům nebo útočníkům v síti zachytávat interní DNS dotazy, čímž snižují riziko DNS spoofingu nebo útoků typu man-in-the-middle.

Novináři a aktivisté: V regionech s intenzivním monitorováním internetu přidává šifrování DNS dotazů smysluplnou vrstvu ochrany soukromí, což ztěžuje sledovacím systémům sestavování profilu online chování pouze na základě DNS provozu.

DoT samo o sobě není úplným řešením ochrany soukromí – váš skutečný webový provoz stále potřebuje HTTPS nebo VPN pro úplnou ochranu – ale uzavírá často přehlíženou mezeru v každodenní internetové bezpečnosti.