Mikä ero on DoT:n ja DNS over HTTPS (DoH) -protokollan välillä?

Molemmat salaaavat DNS-kyselyt, mutta tekevät sen eri tavoin. DoT käyttää erillistä porttia (853), mikä tekee siitä helposti tunnistettavan ja tarvittaessa estettävän verkon ylläpitäjille. DoH lähettää DNS-liikenteen portin 443 kautta yhdistäen sen tavalliseen HTTPS-liikenteeseen, mikä tekee siitä vaikeamman estää. DoH tarjoaa vahvemman suojan sensuurin kiertämiseen, kun taas DoT on usein helpompi hallita yritysympäristöissä.

Hidastaako DoT internet-yhteyttäni?

Suorituskykyvaikutus on käytännössä hyvin pieni. TLS-kättely lisää pienen viiveen ensimmäistä yhteyttä muodostettaessa, mutta nykyaikaiset toteutukset käyttävät yhteyksiä uudelleen ja hyödyntävät välimuistia tehokkaasti. Useimmille käyttäjille ero normaaliin DNS:ään verrattuna on täysin huomaamaton.

Suojaako DoT minut täysin yksityisyysuhilta?

Ei yksinään. DoT salaa DNS-kyselysi, mutta varsinainen verkkoliikenteesi vaatii silti HTTPS:n tai VPN:n suojauksen. Lisäksi DNS-resolveri, johon muodostat yhteyden, näkee edelleen kyselysi — joten on tärkeää valita luotettava palveluntarjoaja. DoT on yksi kerros kattavassa yksityisyysstrategiassa, ei täydellinen ratkaisu itsessään.

Miten voin ottaa DoT:n käyttöön omalla laitteellani?

Käyttöönottotapa vaihtelee laitteesta riippuen. Android 9:ssä ja uudemmissa versioissa voit aktivoida "Yksityinen DNS" -ominaisuuden asetuksista ja syöttää DoT-yhteensopivan resolverin osoitteen (esim. 1dot1dot1dot1.cloudflare-dns.com). Windowsissa ja macOS:ssä DoT vaatii yleensä kolmannen osapuolen ohjelmiston tai erityiset verkkoasetukset. Voit myös määrittää reitittimesi käyttämään DoT:ta, jolloin kaikki verkkoosi liitetyt laitteet hyötyvät salauksesta automaattisesti.

DNS over TLS (DoT)

DNS over TLS (DoT): Pidä verkkotunnushakusi yksityisinä

Joka kerta kun kirjoitat verkkosivun osoitteen selaimeesi, laitteesi lähettää DNS-kyselyn — käytännössä se kysyy palvelimelta: "Mikä on tämän verkkotunnuksen IP-osoite?" Perinteisesti nämä kyselyt kulkevat internetin yli selkokielisenä tekstinä, mikä tarkoittaa, että internet-palveluntarjoajasi, verkon ylläpitäjät tai kuka tahansa yhteyttäsi tarkkaileva taho voi nähdä tarkalleen, mitä verkkosivustoja olet yrittänyt vierailla. DNS over TLS, yleisesti lyhennettynä DoT, on suunniteltu ratkaisemaan tämä ongelma.

Mitä se on

DNS over TLS on verkkoprotokolla, joka käärii DNS-kyselysi TLS (Transport Layer Security) -salattuun yhteyteen — samaan teknologiaan, joka suojaa verkkopankkisivustoasi tai sähköpostin kirjautumistasi. Sen sijaan, että nämä "missä tämä verkkosivusto sijaitsee?" -pyynnöt lähetettäisiin avoimesti, DoT varmistaa, että ne salataan ennen kuin ne lähtevät laitteestasi. Se standardoitiin virallisesti vuonna 2016 RFC 7858 -dokumentin alla, ja sen ovat sittemmin ottaneet käyttöön suuret DNS-resolverit, mukaan lukien Cloudflare (1.1.1.1), Google (8.8.8.8) ja muut.

Miten se toimii

Tavallisesti DNS-liikenne kulkee portin 53 kautta ja käyttää UDP:tä tai TCP:tä ilman salausta. DoT muuttaa tämän muodostamalla erillisen TLS-yhteyden portin 853 kautta. Tässä on perustoimintaperiaate:

Laitteesi (tai DNS-resolveri) käynnistää TLS-kättelyn DNS-palvelimen kanssa varmistaen sen henkilöllisyyden digitaalisten sertifikaattien avulla.
Kun salattu tunneli on muodostettu, DNS-kyselysi kulkee sen läpi — täysin piilossa ulkopuolisilta tarkkailijoilta.
DNS-palvelin käsittelee pyynnön ja lähettää vastauksen takaisin samaa salattua kanavaa pitkin.
Laitteesi käyttää palautettua IP-osoitetta yhdistääkseen verkkosivustoon.

Koska DoT toimii erillisellä portilla (853), verkon ylläpitäjät ja palomuurit voivat helposti tunnistaa ja halutessaan estää DoT-liikenteen. Tämä on yksi keskeinen ero sen lähisukulaiseen DNS over HTTPS (DoH) -protokollaan verrattuna, joka sekoittaa DNS-liikenteen tavalliseen verkkoliikenteeseen portilla 443 ja on vaikeampi estää.

Miksi se on tärkeää VPN-käyttäjille

Saatat miettiä — jos käytän jo VPN:ää, pitääkö minun huolehtia DoT:sta? Se on perusteltu kysymys. VPN salaa kaiken liikenteesi, mukaan lukien DNS-kyselyt, kun reititys on määritetty oikein. On kuitenkin joitain tärkeitä vivahteita:

DNS-vuodot: Jos VPN-asiakasohjelmaasi ei ole määritetty oikein, DNS-pyynnöt voivat joskus ohittaa salatun VPN-tunnelin ja siirtyä suoraan internet-palveluntarjoajasi resolverille selkokielisenä tekstinä. DNS-vuoto voi paljastaa selausaktiviteettisi, vaikka luulisit olevasi suojattu. DoT tarjoaa lisäsalauskerroksen, joka auttaa suojautumaan tältä.
VPN:ttömät ympäristöt: Kaikki eivät käytä VPN:ää jatkuvasti. Avoimissa Wi-Fi-verkoissa, töissä tai mobiilidataa käytettäessä DoT suojaa DNS-kyselysi riippumatta VPN:stä.
Internet-palveluntarjoajan valvonta ja kaistanrajoitus: Ilman salattua DNS:ää internet-palveluntarjoajasi voi kirjata jokaisen vierailemasi verkkotunnuksen ja mahdollisesti myydä kyseisen metatiedon tai käyttää sitä tiettyjen palveluiden kaistanrajoittamiseen. DoT estää heitä lukemasta näitä kyselyitä.

Käytännön esimerkkejä ja käyttötapauksia

Kotiverkon tietoturva: Kun määrität reitittimesi tai paikallisen DNS-resolverisi käyttämään DoT:ta (osoittamalla yksityisyyteen keskittyvään resolveriin, kuten Cloudflare tai Quad9), jokainen verkkosi laite hyötyy salatuista DNS-hauista — ilman, että jokaiseen laitteeseen tarvitsee asentaa mitään ylimääräistä.

Mobiilin yksityisyys: Android 9 ja uudemmat versiot sisältävät sisäänrakennetun "Yksityinen DNS" -ominaisuuden, joka tukee DoT:ta natiivisti. Voit ottaa sen käyttöön asetuksista ja reitittää kaikki DNS-kyselyt salatun resolverin kautta ilman kolmannen osapuolen sovellusta.

Yritysverkot: IT-tiimit käyttävät DoT:ta estääkseen verkon työntekijöitä tai hyökkääjiä sieppaamasta sisäisiä DNS-kyselyitä, mikä vähentää DNS-huijausten tai man-in-the-middle-hyökkäysten riskiä.

Toimittajat ja aktivistit: Alueilla, joilla internetin valvonta on tiukkaa, DNS-kyselyjen salaaminen lisää merkittävän yksityisyyskerroksen, mikä vaikeuttaa valvontajärjestelmien kykyä rakentaa kuvaa verkkokäyttäytymisestä pelkästään DNS-liikenteen perusteella.

DoT ei yksinään ole täydellinen yksityisyysratkaisu — varsinainen verkkoliikenteesi tarvitsee silti HTTPS:n tai VPN:n täydellistä suojaa varten — mutta se sulkee usein huomiotta jäävän aukon jokapäiväisessä internetin tietoturvassa.

DNS over TLS (DoT)Keskitaso

DNS over TLS (DoT): Pidä verkkotunnushakusi yksityisinä

Mitä se on

Miten se toimii

Miksi se on tärkeää VPN-käyttäjille

Käytännön esimerkkejä ja käyttötapauksia

// FAQ