DNS over TLS (DoT)Srednji

DNS over TLS (DoT): Zaštita privatnosti vaših pretraživanja domena

Svaki put kada u preglednik upišete adresu web-stranice, vaš uređaj šalje DNS upit — u biti pitajući server: „Koja je IP adresa ove domene?" Tradicionalno, ti upiti putuju internetom kao nešifriran tekst, što znači da vaš davatelj internetskih usluga, mrežni administratori ili bilo tko tko nadzire vašu vezu može točno vidjeti koje web-stranice pokušavate posjetiti. DNS over TLS, često skraćen kao DoT, osmišljen je upravo kako bi riješio taj problem.

Što je DoT

DNS over TLS je mrežni protokol koji omotava vaše DNS upite unutar TLS (Transport Layer Security) šifrirane veze — iste tehnologije koja štiti vaš bankovni portal ili prijavu na e-poštu. Umjesto da se ti zahtjevi tipa „gdje se nalazi ova web-stranica?" šalju otvoreno, DoT osigurava da budu šifrirani prije nego što napuste vaš uređaj. Formalno je standardiziran 2016. godine u okviru RFC 7858, a od tada su ga prihvatili veliki DNS rezolveri, uključujući Cloudflare (1.1.1.1), Google (8.8.8.8) i druge.

Kako funkcionira

Uobičajeno, DNS promet teče kroz port 53 i koristi UDP ili TCP bez ikakve enkripcije. DoT to mijenja uspostavljanjem namjenske TLS veze preko porta 853. Evo osnovnog tijeka:

1. Vaš uređaj (ili DNS rezolver) pokreće TLS rukovanje s DNS serverom, provjeravajući njegov identitet pomoću digitalnih certifikata.
2. Nakon što je šifrirani tunel uspostavljen, vaš DNS upit prolazi kroz njega — potpuno skriven od vanjskih promatrača.
3. DNS server obrađuje zahtjev i šalje odgovor natrag kroz isti šifrirani kanal.
4. Vaš uređaj koristi vraćenu IP adresu za spajanje na web-stranicu.

Budući da DoT radi na namjenskom portu (853), mrežni administratori i vatrozidi mogu lako prepoznati i, ako to odaberu, blokirati DoT promet. To je jedna ključna razlika u odnosu na njegov bliski srodnik, DNS over HTTPS (DoH), koji miješa DNS promet s redovitim web prometom na portu 443 i teže ga je blokirati.

Zašto je važan korisnicima VPN-a

Možda se pitate — ako već koristim VPN, trebam li se brinuti o DoT-u? To je opravdano pitanje. VPN šifrira sav vaš promet, uključujući DNS upite, kada je ispravno usmjeren. Međutim, postoje neke važne nijanse:

• DNS propuštanja: Ako vaš VPN klijent nije ispravno konfiguriran, DNS zahtjevi ponekad mogu zaobići šifrirani VPN tunel i izravno doći do rezolvera vašeg davatelja usluga u obliku nešifriranog teksta. DNS propuštanje može otkriti vašu aktivnost pregledavanja čak i kada mislite da ste zaštićeni. DoT pruža dodatni sloj enkripcije koji pomaže u zaštiti od toga.
• Okruženja bez VPN-a: Nisu svi uvijek spojeni na VPN. Na otvorenim Wi-Fi mrežama, na poslu ili na mobilnim podacima, DoT štiti vaše DNS upite neovisno o VPN-u.
• Nadzor i ograničavanje propusnosti od strane davatelja usluga: Bez šifriranog DNS-a, vaš davatelj internetskih usluga može bilježiti svaku domenu koju posjetite te potencijalno prodavati te metapodatke ili ih koristiti za ograničavanje brzine određenih usluga. DoT ih sprječava u čitanju tih upita.

Praktični primjeri i slučajevi korištenja

Sigurnost kućne mreže: Konfiguriranje vašeg usmjerivača ili lokalnog DNS rezolvera za korištenje DoT-a (usmjeravanjem prema rezolveru usmjerenom na privatnost poput Cloudflarea ili Quad9) znači da svaki uređaj na vašoj mreži ima koristi od šifriranih DNS pretraživanja — bez instaliranja ikakvih dodataka na svakom uređaju posebno.

Privatnost na mobilnim uređajima: Android 9 i noviji verzije uključuju ugrađenu značajku „Privatni DNS" koja nativno podržava DoT. Možete je omogućiti u postavkama i usmjeriti sve DNS upite kroz šifrirani rezolver bez ikakve aplikacije treće strane.

Korporativne mreže: IT timovi koriste DoT kako bi spriječili zaposlenike ili napadače na mreži da presreću interne DNS upite, smanjujući rizik od DNS lažiranja ili napada čovjeka u sredini.

Novinari i aktivisti: U regijama s intenzivnim internetskim nadzorom, šifriranje DNS upita dodaje značajan sloj privatnosti, otežavajući sustavima nadzora da na temelju samog DNS prometa stvore sliku o online ponašanju korisnika.

DoT sam po sebi nije cjelovito rješenje za privatnost — vaš stvarni web promet i dalje treba HTTPS ili VPN za potpunu zaštitu — ali zatvara često zanemarenu sigurnosnu rupu u svakodnevnom korištenju interneta.