Helyettesíti-e a DoH a VPN-t?

Nem. A DoH kizárólag a DNS-lekérdezéseket titkosítja, és nem rejti el a valódi IP-címedet, és nem titkosítja az összes internetes forgalmadat úgy, ahogy egy VPN teszi. A DoH és a VPN egymást kiegészítő eszközök, nem helyettesítői egymásnak.

Hogyan engedélyezhetem a DoH-t a böngészőmben?

A Firefoxban és a Chrome-ban a DoH közvetlenül a böngésző adatvédelmi vagy biztonsági beállításaiban kapcsolható be. Keresd a „DNS over HTTPS" vagy a „Biztonságos DNS" opciót, és válaszd ki a kívánt feloldót, például a Cloudflare vagy a Google által kínáltat.

Látja-e az internetszolgáltatóm, hogy DoH-t használok?

Az internetszolgáltatód láthatja, hogy a 443-as porton a DoH-feloldók – például a `1.1.1.1` vagy a `8.8.8.8` – IP-címeihez csatlakozol, azonban nem látja a titkosított DNS-lekérdezések tartalmát. A forgalom hétköznapi HTTPS-adatforgalomnak tűnik.

Mi a különbség a DoH és a DoT között?

Mindkét protokoll titkosítja a DNS-forgalmat, azonban eltérő módszerekkel. A DoT dedikált 853-as portot használ, amely könnyen azonosítható és blokkolható. A DoH a szabványos 443-as HTTPS-portot használja, így elvegyül a normál webes forgalomban, és nehezebb blokkolni – ez adatvédelmi szempontból előnyt jelent, de vállalati hálózatokon aggályokat vethet fel.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): Mi ez, és miért fontos?

Minden alkalommal, amikor beírsz egy webcímet a böngésződbe, az eszközöd feltesz egy kérdést: „Mi az IP-cím ehhez a domainhez?" Ezt a kérdést DNS-lekérdezésnek hívják, és évtizedeken át titkosítatlan, sima szövegként utazott az interneten – teljesen látható volt mindenki számára, aki figyelte a hálózatot. A DNS over HTTPS (DoH) éppen ennek orvoslására jött létre.

Mi ez?

A DNS over HTTPS egy olyan protokoll, amely a DNS-lekérdezéseidet titkosított HTTPS-forgalomba csomagolja – ugyanolyan típusú titkosítással, amelyet akkor használsz, amikor bejelentkezel a bankodba vagy online vásárolsz. A DNS-kérések helyett, amelyek nyíltan kerülnének elküldésre, biztonságos HTTPS-kapcsolatokon belül jutnak el egy DoH-kompatibilis DNS-feloldóhoz. A külső megfigyelők számára a forgalom teljesen hétköznapi böngészésnek tűnik.

A DoH-t az Internet Engineering Task Force (IETF) szabványosította 2018-ban, az RFC 8484 dokumentumban, és azóta beépítésre került a főbb böngészőkbe, mint a Firefox, a Chrome és az Edge, valamint operációs rendszerekbe, mint a Windows 11 és az Android.

Hogyan működik?

A folyamat alapvetően így néz ki:

Beírod a böngésződbe, hogy `example.com`.
Ahelyett, hogy az eszközöd titkosítatlan UDP-kérést küldene az internetszolgáltatód DNS-szerverére az 53-as porton, titkosított HTTPS-kérést küld egy DoH-feloldóhoz (például a Cloudflare `1.1.1.1`-es vagy a Google `8.8.8.8`-as szerveréhez) a 443-as porton.
A feloldó megkeresi az IP-címet, és visszaküldi a választ – szintén titkosítva, HTTPS-en keresztül.
A böngésződ csatlakozik a weboldalhoz.

Mivel a lekérdezés a 443-as portot használja (a szabványos HTTPS-port), elvegyül a normál webes forgalomban. A hálózatodon passzívan figyelő személy – legyen az az internetszolgáltatód, egy hálózati rendszergazda vagy valaki, aki egy hamis Wi-Fi hotspotot üzemeltet – nem tudja könnyen megkülönböztetni a DNS-lekérdezéseidet a többi HTTPS-forgalomtól.

Miért fontos a VPN-felhasználók számára?

Felmerülhet a kérdés: ha már VPN-t használok, szükségem van-e DoH-ra is? Ez jogos felvetés, és a válasz a beállításaidtól függ.

VPN nélkül a DoH jelentős adatvédelmi előrelépést jelent. Az internetszolgáltatód már nem tudja könnyen naplózni az összes felkeresett domaint. Ez különösen fontos, mivel sok országban az internetszolgáltatók engedéllyel rendelkeznek – vagy akár kötelezve is vannak – a böngészési adatok gyűjtésére és értékesítésére.

VPN használatával a DNS-lekérdezéseidnek már a VPN-alagúton keresztül kellene haladniuk, és a VPN-szolgáltató saját DNS-szerverei által kellene feloldódniuk. Azonban ha a VPN-kapcsolat megszakad vagy helytelenül van konfigurálva, DNS-szivárgás léphet fel – az eszközöd az alagúton kívül kezd DNS-lekérdezéseket küldeni, felfedve a tevékenységedet. A DoH VPN melletti alkalmazása (vagy olyan VPN választása, amely belső DoH-implementációval rendelkezik) egy további védelmi réteget ad az ilyen szivárgásokkal szemben.

Érdemes megjegyezni, hogy a DoH önmagában nem helyettesíti a VPN-t. A DoH kizárólag a domain-feloldási fázist titkosítja. A tényleges IP-címed továbbra is látható marad a felkeresett weboldalak számára, és az internetszolgáltatód még mindig látja, mely IP-címekhez csatlakozol – csupán azt nem feltétlenül tudja, hogy mely domainnevek indították el ezeket a kapcsolatokat.

Gyakorlati példák és felhasználási esetek

Nyilvános Wi-Fi: Kávézóban vagy repülőtéren csatlakozva a DoH megakadályozza, hogy a hálózat üzemeltetője naplózza a DNS-lekérdezéseidet, vagy egy manipulált szerverre irányítsa át azokat.
Alapvető cenzúra megkerülése: Egyes internetszolgáltatók DNS-lekérdezések lehallgatásával blokkolnak weboldalakat. A DoH képes megkerülni a DNS-szintű blokkolást, mivel a lekérdezések titkosítottak, és egy külső feloldóhoz kerülnek elküldésre. (Megjegyzés: az eltökélt cenzúrázók IP-cím alapján még így is blokkolhatják a DoH-feloldókat.)
Böngészőszintű védelem: A Firefox és a Chrome lehetővé teszi a DoH közvetlen engedélyezését a beállításokban, így titkosított DNS-t biztosít még akkor is, ha éppen nem használsz VPN-t.
Vállalati környezetek: A hálózati rendszergazdák körében a DoH sokszor vitát vált ki, mivel megkerülheti a belső DNS-vezérléseket. Sok szervezet úgy konfigurálja a DoH-t, hogy jóváhagyott belső feloldókon keresztül működjön, nem pedig nyilvánosak révén.

DoH vs. DoT

A DoH-t gyakran hasonlítják össze a DNS over TLS (DoT) protokollal, amely szintén DNS-titkosítási megoldás. Mindkettő titkosítja a DNS-forgalmat, de a DoT egy dedikált portot (853) használ, amelyet a hálózati rendszergazdák könnyen azonosíthatnak és szűrhetnek. A DoH elvegyül a normál HTTPS-forgalomban, ami megnehezíti a blokkolását – ez egyszerre jelenti az adatvédelmi előnyét és a hálózatfelügyelettel kapcsolatos aggodalmak forrását.

DNS over HTTPS (DoH)Haladó