Štiti li DoH u potpunosti moju privatnost na internetu?

Ne. DoH šifrira samo DNS upite — odnosno proces u kojemu vaš uređaj traži IP adresu za određenu domenu. Ne skriva vašu stvarnu IP adresu od web stranica koje posjećujete, niti sprječava vaš ISP da vidi na koje se IP adrese spajate. Za sveobuhvatniju zaštitu privatnosti preporučuje se kombiniranje DoH-a s VPN-om.

Mogu li koristiti DoH i VPN istovremeno?

Da, i to može biti korisno. Kada koristite VPN, vaši DNS upiti trebali bi prolaziti kroz tunel, ali ako dođe do DNS curenja, DoH može pružiti dodatni sloj zaštite. Neki VPN pružatelji ugrađuju DoH izravno u svoja rješenja kako bi smanjili rizik od curenja.

Kako mogu omogućiti DNS over HTTPS u svom pregledniku?

Većina modernih preglednika podržava DoH u postavkama. U Firefoxu ga možete pronaći pod Postavke > Privatnost i sigurnost > DNS over HTTPS. U Chromeu idite na Postavke > Sigurnost i potražite opciju "Koristi sigurni DNS". Nakon aktivacije možete odabrati javni DoH resolver poput Cloudflareovog ili Googleovog, ili unijeti adresu prilagođenog resolvera.

Koja je razlika između DoH-a i DoT-a?

Oba protokola šifriraju DNS upite, ali na različite načine. DNS over TLS (DoT) koristi namjenski port 853, što ga čini lakše prepoznatljivim i filtrabilnim na mreži. DNS over HTTPS (DoH) koristi standardni port 443, stapa se s redovitim web prometom i teže ga je blokirati. Za korisnike kojima je prioritet privatnost, DoH općenito nudi bolju otpornost na nadzor i filtriranje na razini mreže.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): Što je i zašto je važan

Svaki put kada u preglednik upišete adresu web stranice, vaš uređaj šalje upit: "Koja je IP adresa ove domene?" Taj upit naziva se DNS upit, i desetljećima je putovao internetom u obliku čistog teksta — potpuno izložen svakome tko promatra mrežu. DNS over HTTPS (DoH) stvoren je upravo kako bi to riješio.

Što je DoH

DNS over HTTPS je protokol koji omotava vaše DNS upite unutar šifriranog HTTPS prometa — iste vrste enkripcije koja se koristi kada se prijavljujete u svoju banku ili kupujete online. Umjesto da se vaši DNS zahtjevi šalju otvoreno, upakirani su unutar sigurnih HTTPS veza i šalju se na DoH-kompatibilni DNS resolver. Vanjskim promatračima promet izgleda kao obično pregledavanje weba.

DoH je standardiziralo tijelo Internet Engineering Task Force (IETF) u dokumentu RFC 8484 2018. godine, a od tada je ugrađen u glavne preglednike poput Firefoxa, Chromea i Edgea, kao i u operacijske sustave poput Windowsa 11 i Androida.

Kako funkcionira

Evo osnovnog toka:

U preglednik upisujete `example.com`.
Umjesto slanja plaintext UDP zahtjeva na DNS poslužitelj vašeg ISP-a na portu 53, vaš uređaj šalje šifrirani HTTPS zahtjev na DoH resolver (poput Cloudflareovog `1.1.1.1` ili Googleovog `8.8.8.8`) na portu 443.
Resolver pronalazi IP adresu i šalje odgovor natrag — i dalje šifrirano putem HTTPS-a.
Vaš preglednik se spaja na web stranicu.

Budući da upit koristi port 443 (standardni HTTPS port), stapa se s normalnim web prometom. Pasivni promatrač na vašoj mreži — bio to vaš ISP, mrežni administrator ili netko tko upravlja lažnom Wi-Fi pristupnom točkom — ne može lako razlikovati vaše DNS upite od bilo kojeg drugog HTTPS prometa.

Zašto je važan za korisnike VPN-a

Možda se pitate: ako već koristim VPN, trebam li DoH? To je legitimno pitanje, a odgovor ovisi o vašoj konfiguraciji.

Bez VPN-a, DoH predstavlja značajno poboljšanje privatnosti. Vaš ISP više ne može jednostavno bilježiti svaku domenu koju posjetite. Ovo je posebno relevantno s obzirom na to da ISP-ovi u mnogim zemljama imaju dopuštenje — ili čak obavezu — prikupljati i prodavati podatke o pregledavanju.

S VPN-om, vaši DNS upiti već bi trebali biti usmjeravani kroz VPN tunel i razrješavani od strane vlastitih DNS poslužitelja vašeg VPN pružatelja. Međutim, ako veza s VPN-om padne ili je pogrešno konfigurirana, može doći do DNS curenja — vaš uređaj se vraća na slanje DNS upita izvan tunela, izlažući vašu aktivnost. Korištenje DoH-a uz VPN (ili odabir VPN-a koji interno implementira DoH) dodaje dodatni sloj zaštite od takvih curenja.

Vrijedi napomenuti i da DoH sam po sebi nije zamjena za VPN. DoH šifrira samo fazu pretraživanja domene. Vaša stvarna IP adresa ostaje vidljiva web stranicama koje posjećujete, a vaš ISP i dalje može vidjeti na koje se IP adrese spajate — samo ne nužno i koje su domene pokrenule te veze.

Praktični primjeri i slučajevi korištenja

Javni Wi-Fi: Kada ste spojeni na mrežu u kafiću ili zračnoj luci, DoH sprječava operatora mreže da bilježi vaše DNS upite ili ih preusmjerava na manipulirani poslužitelj.
Zaobilaženje osnovne cenzure: Neki ISP-ovi blokiraju web stranice presretanjem DNS upita. DoH može zaobići blokade na razini DNS-a jer su upiti šifrirani i šalju se na vanjski resolver. (Napomena: odlučni cenzori i dalje mogu blokirati DoH resolvere prema IP adresi.)
Zaštita na razini preglednika: Firefox i Chrome omogućuju vam aktiviranje DoH-a izravno u postavkama, pružajući šifrirani DNS čak i kada niste na VPN-u.
Poslovna okruženja: Mrežni administratori često raspravljaju o DoH-u jer može zaobići interne DNS kontrole. Mnoge organizacije konfiguriraju DoH tako da se usmjerava kroz odobrene interne resolvere umjesto javnih.

DoH u usporedbi s DoT-om

DoH se često uspoređuje s DNS over TLS (DoT), još jednim protokolom za enkripciju DNS-a. Oba šifriraju DNS promet, ali DoT koristi namjenski port (853) koji mrežni administratori mogu lako prepoznati i filtrirati. DoH se stapa s redovitim HTTPS prometom, što ga čini težim za blokiranje — što je istovremeno njegova prednost za privatnost i razlog zabrinutosti u pogledu mrežne kontrole.

DNS over HTTPS (DoH)Srednji