Tekeekö DoH VPN:stä tarpeettoman?

Ei. DoH salaa ainoastaan DNS-kyselysi, mutta ei piilota IP-osoitettasi eikä salaa muuta verkkoliikennettäsi. VPN suojaa kaiken laitteesi lähettämän ja vastaanottaman liikenteen, kun taas DoH hoitaa vain verkkotunnusten hakuvaiheen. Ne täydentävät toisiaan, mutta kumpikaan ei korvaa toista.

Miten otan DoH:n käyttöön selaimessani?

Useimmissa selaimissa DoH löytyy tietosuoja- tai turvallisuusasetuksista. Firefoxissa se on kohdassa Asetukset → Tietosuoja ja turvallisuus → DNS over HTTPS. Chromessa se on kohdassa Asetukset → Tietosuoja ja turvallisuus → Suojattu DNS. Windows 11:ssä DoH voidaan ottaa käyttöön verkkoadapterin asetuksista.

Voiko internet-palveluntarjoajani edelleen nähdä toimintani DoH:n käytön jälkeen?

Internet-palveluntarjoajasi ei DoH:n myötä enää näe DNS-kyselyitäsi, mutta se näkee edelleen IP-osoitteet, joihin muodostat yhteyksiä. Tämä tarkoittaa, että se voi usein päätellä mitä verkkosivustoja vierailet, vaikka se ei näe tarkkoja verkkotunnuksia. Täydellisen liikenteen suojaamiseen tarvitaan VPN.

Mitä eroa on DoH:lla ja DoT:lla (DNS over TLS)?

Molemmat salaavat DNS-liikenteen, mutta eri tavoin. DoT käyttää erillistä porttia 853, joka on helppo tunnistaa ja estää. DoH lähettää DNS-kyselyt tavallisen HTTPS-liikenteen seassa portissa 443, mikä tekee siitä vaikeamman havaita ja estää. Yksityisyyden kannalta DoH tarjoaa paremman suojan verkkoympäristöissä, joissa DNS-liikennettä saatetaan valvoa tai rajoittaa.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): Mitä se on ja miksi sillä on merkitystä

Joka kerta kun kirjoitat verkkosivuston osoitteen selaimeesi, laitteesi lähettää kyselyn: "Mikä on tämän verkkotunnuksen IP-osoite?" Tätä kyselyä kutsutaan DNS-kyselyksi, ja vuosikymmenten ajan se kulki internetin yli selväkielisenä — täysin näkyvillä kaikille verkkoa tarkkaileville. DNS over HTTPS (DoH) kehitettiin korjaamaan juuri tämä ongelma.

Mitä se on

DNS over HTTPS on protokolla, joka käärii DNS-kyselysi salatun HTTPS-liikenteen sisään — samanlaisella salauksella, jota käytetään kun kirjaudut verkkopankkiisi tai teet ostoksia verkossa. Sen sijaan että DNS-pyyntösi lähetettäisiin avoimesti, ne niputetaan suojattuihin HTTPS-yhteyksiin ja lähetetään DoH-yhteensopivalle DNS-resolverille. Ulkopuolisille tarkkailijoille liikenne näyttää tavalliselta verkkoselaamiselta.

DoH standardoitiin Internet Engineering Task Forcen (IETF) toimesta RFC 8484 -dokumentissa vuonna 2018, ja se on sittemmin sisällytetty suuriin selaimiin, kuten Firefoxiin, Chromeen ja Edgeen, sekä käyttöjärjestelmiin kuten Windows 11 ja Android.

Miten se toimii

Tässä on perustoimintaperiaate:

Kirjoitat `example.com` selaimesi osoitekenttään.
Sen sijaan että laitteesi lähettäisi selväkielisen UDP-pyynnön internet-palveluntarjoajasi DNS-palvelimelle portissa 53, se lähettää salatun HTTPS-pyynnön DoH-resolverille (kuten Cloudflaren `1.1.1.1` tai Googlen `8.8.8.8`) portissa 443.
Resolveri etsii IP-osoitteen ja lähettää vastauksen takaisin — edelleen salattuna HTTPS:n kautta.
Selaimesi muodostaa yhteyden verkkosivustoon.

Koska kysely käyttää porttia 443 (vakio-HTTPS-portti), se sulautuu normaaliin verkkoliikenteeseen. Passiivinen tarkkailija verkossasi — olipa kyseessä sitten internet-palveluntarjoajasi, verkon ylläpitäjä tai epäluotettavan Wi-Fi-hotapotin ylläpitäjä — ei pysty helposti erottamaan DNS-hakujasi muusta HTTPS-liikenteestä.

Miksi sillä on merkitystä VPN-käyttäjille

Saatat miettiä: jos käytän jo VPN:ää, tarvitsenko DoH:ta? Se on aiheellinen kysymys, ja vastaus riippuu käyttöympäristöstäsi.

Ilman VPN:ää DoH on merkittävä parannus yksityisyyden suojan kannalta. Internet-palveluntarjoajasi ei enää pysty helposti kirjaamaan kaikkia vierailemiasi verkkotunnuksia. Tämä on erityisen oleellista, koska monissa maissa internet-palveluntarjoajat saavat — tai jopa velvoitetaan — kerätä ja myydä selaushistoriatietoja.

VPN:n kanssa DNS-kyselysi pitäisi jo reitittää VPN-tunnelin kautta ja selvittää VPN-palveluntarjoajan omien DNS-palvelimien avulla. Jos VPN-yhteys kuitenkin katkeaa tai se on määritetty virheellisesti, voi syntyä DNS-vuoto — laitteesi palaa lähettämään DNS-kyselyitä tunnelin ulkopuolelle, paljastaen toimintasi. DoH:n käyttäminen VPN:n rinnalla (tai sellaisen VPN:n valitseminen, joka toteuttaa DoH:n sisäisesti) lisää ylimääräisen suojakerroksen tällaisia vuotoja vastaan.

On myös tärkeää huomata, että DoH yksin ei korvaa VPN:ää. DoH salaa ainoastaan verkkotunnuksen hakuvaiheen. Todellinen IP-osoitteesi on edelleen näkyvissä vierailemillesi verkkosivustoille, ja internet-palveluntarjoajasi näkee yhä mihin IP-osoitteisiin muodostat yhteyksiä — vaikkei välttämättä pysty yhdistämään niitä tiettyihin verkkotunnuksiin.

Käytännön esimerkkejä ja käyttötapauksia

Julkinen Wi-Fi: Kahvilan tai lentokentän verkkoon yhdistettäessä DoH estää verkon ylläpitäjää kirjaamasta DNS-kyselyitäsi tai ohjaamasta niitä manipuloituun palvelimeen.
Yksinkertaisen sensuurin ohittaminen: Jotkin internet-palveluntarjoajat estävät verkkosivustoja kaappaamalla DNS-kyselyitä. DoH voi ohittaa DNS-tason estot, koska kyselyt on salattu ja lähetetty ulkoiselle resolverille. (Huomio: määrätietoiset sensuuria harjoittavat tahot voivat silti estää DoH-resolverit IP-osoitteen perusteella.)
Selaintason suojaus: Firefox ja Chrome mahdollistavat DoH:n käyttöönoton suoraan asetuksista, tarjoten salatun DNS:n myös silloin kun et ole VPN:ssä.
Yritysympäristöt: Verkon ylläpitäjät käyvät usein keskustelua DoH:sta, koska se voi ohittaa sisäiset DNS-kontrollit. Monet organisaatiot määrittävät DoH:n reititettäväksi hyväksyttyjen sisäisten resolvereiden kautta julkisten sijaan.

DoH vs. DoT

DoH:ta verrataan usein DNS over TLS:ään (DoT), toiseen DNS:n salausprotokollaan. Molemmat salaavat DNS-liikenteen, mutta DoT käyttää erillistä porttia (853), jonka verkon ylläpitäjät voivat helposti tunnistaa ja suodattaa. DoH sulautuu tavalliseen HTTPS-liikenteeseen, mikä tekee sen estämisestä vaikeampaa — mikä on sekä sen yksityisyyteen liittyvä vahvuus että verkon hallinnan kannalta huolenaihe.

DNS over HTTPS (DoH)Keskitaso