Mi a különbség a DoT és a DoH között?

Mindkét protokoll titkosítja a DNS-lekérdezéseket, de különböző módokon. A DNS over TLS (DoT) a dedikált 853-as portot használja, ami megkönnyíti a hálózati adminisztrátorok számára az azonosítását és blokkolását. A DNS over HTTPS (DoH) viszont a hagyományos HTTPS-forgalommal együtt a 443-as porton működik, így nehezebb megkülönböztetni és blokkolni. A DoH általában jobban ellenáll a cenzúrának, míg a DoT könnyebben kezelhető és figyelhető vállalati hálózatokon.

Ha VPN-t használok, szükségem van még DoT-ra is?

Általában egy megfelelően konfigurált VPN elegendő védelmet nyújt, mivel az összes forgalmadat, beleértve a DNS-lekérdezéseket is, titkosítja. Azonban a DNS-szivárgás – amelynek során a DNS-kérések megkerülik a VPN-alagutat – valódi kockázatot jelent. A DoT egy pótlólagos védelmi réteget biztosít, és különösen hasznos azokban a pillanatokban, amikor nem csatlakozol VPN-hez, például nyílt Wi-Fi hálózatokon vagy mobiladat-kapcsolat esetén.

Hogyan engedélyezhetem a DoT-ot az eszközeimen?

Az Android 9 és újabb verziókban beépített támogatás érhető el a „Privát DNS" funkción keresztül, amelyet a Hálózati beállításokban találsz meg. Számítógépen beállíthatod a routeredet DoT-kompatibilis feloldó használatára (pl. Cloudflare 1.1.1.1 vagy Quad9 9.9.9.9), így az összes hálózati eszközöd részesül a titkosított DNS-lekérdezésekből. Egyes operációs rendszerek és böngészők szintén rendelkeznek saját beépített DoT- vagy DoH-beállításokkal.

A DoT teljesen megvédi az adatvédelmemet az interneten?

Nem – a DoT csak a DNS-lekérdezéseket titkosítja, vagyis a doménnév-feloldási folyamatot. Nem titkosítja magát a webes forgalmat, és nem rejti el az IP-címedet. A teljes körű online adatvédelem érdekében a DoT-ot HTTPS-sel és egy megbízható VPN-nel érdemes kombinálni. Mindegyik eszköz egy-egy specifikus rést zár be, és együttesen sokkal átfogóbb védelmet nyújtanak.

DNS over TLS (DoT)

DNS over TLS (DoT): Tartsd titokban a doménnév-lekérdezéseidet

Minden alkalommal, amikor beírsz egy webcímet a böngésződbe, az eszközöd egy DNS-lekérdezést küld – lényegében azt kérdezi egy szervertől: „Mi az IP-cím ehhez a doménhez?" Hagyományosan ezek a lekérdezések titkosítatlan, sima szövegként utaznak az interneten, ami azt jelenti, hogy az internetszolgáltatód, a hálózati adminisztrátorok vagy bárki, aki figyeli a kapcsolatodat, pontosan láthatja, mely weboldalakat próbálod elérni. A DNS over TLS-t, amelyet általában DoT-ként rövidítenek, éppen ennek a problémának a megoldására tervezték.

Mi is ez?

A DNS over TLS egy hálózati protokoll, amely TLS (Transport Layer Security) titkosított kapcsolatba csomagolja a DNS-lekérdezéseidet – ugyanabba a technológiába, amely a banki weboldalaidat vagy az e-mail bejelentkezéseidet védi. Ahelyett, hogy ezeket a „hol található ez a weboldal?" kéréseket nyíltan küldenéd ki, a DoT gondoskodik arról, hogy azok még az eszközöd elhagyása előtt titkosítva legyenek. A protokollt 2016-ban formálisan szabványosították az RFC 7858 keretében, és azóta számos nagyobb DNS-feloldó bevezette, köztük a Cloudflare (1.1.1.1), a Google (8.8.8.8) és mások.

Hogyan működik?

Normál esetben a DNS-forgalom az 53-as porton fut, és titkosítás nélküli UDP- vagy TCP-protokollt használ. A DoT ezt úgy változtatja meg, hogy egy dedikált TLS-kapcsolatot épít fel a 853-as porton. Az alapvető folyamat a következő:

Az eszközöd (vagy DNS-feloldód) TLS-kézfogást kezdeményez a DNS-szerverrel, digitális tanúsítványok segítségével ellenőrizve annak azonosságát.
Amint a titkosított alagút felépült, a DNS-lekérdezésed azon keresztül utazik – teljesen rejtve a külső megfigyelők elől.
A DNS-szerver feldolgozza a kérést, és a választ ugyanazon a titkosított csatornán küldi vissza.
Az eszközöd a visszakapott IP-cím segítségével csatlakozik a weboldalhoz.

Mivel a DoT egy dedikált porton (853) működik, a hálózati adminisztrátorok és a tűzfalak könnyen azonosíthatják, és szükség esetén blokkolhatják a DoT-forgalmat. Ez az egyik legfontosabb különbség a közeli rokonához, a DNS over HTTPS (DoH) protokollhoz képest, amely a DNS-forgalmat a 443-as porton a hagyományos webes forgalommal keveri össze, így nehezebb blokkolni.

Miért fontos ez a VPN-felhasználóknak?

Felmerülhet a kérdés: ha már használok VPN-t, kell-e egyáltalán törődnöm a DoT-tal? Jogos felvetés. A VPN titkosítja az összes forgalmadat, beleértve a DNS-lekérdezéseket is, ha megfelelően van konfigurálva. Azonban van néhány fontos árnyalat:

DNS-szivárgás: Ha a VPN-kliensed nincs megfelelően beállítva, a DNS-kérések néha megkerülhetik a titkosított VPN-alagutat, és közvetlenül az internetszolgáltatód feloldójához juthatnak el titkosítatlanul. Egy DNS-szivárgás felfedheti a böngészési tevékenységedet még akkor is, ha azt hiszed, hogy védve vagy. A DoT egy további titkosítási réteget biztosít, amely segít megelőzni ezt.
VPN nélküli környezetek: Nem mindenki használ állandóan VPN-t. Nyílt Wi-Fi hálózatokon, munkahelyen vagy mobiladat-kapcsolat esetén a DoT a VPN-től függetlenül védi a DNS-lekérdezéseidet.
Internetszolgáltatói megfigyelés és sávszélesség-korlátozás: Titkosítatlan DNS nélkül az internetszolgáltatód naplózhatja az összes meglátogatott domént, és potenciálisan eladhatja ezeket a metaadatokat, vagy felhasználhatja egyes szolgáltatások korlátozására. A DoT megakadályozza, hogy ezeket a lekérdezéseket elolvassák.

Gyakorlati példák és felhasználási esetek

Otthoni hálózati biztonság: Ha a routeredet vagy a helyi DNS-feloldódat DoT használatára konfigurálod (egy adatvédelemre összpontosító feloldóra mutatva, mint a Cloudflare vagy a Quad9), a hálózatod összes eszköze profitál a titkosított DNS-feloldásból – anélkül, hogy minden egyes eszközre külön telepíteni kellene bármit.

Mobilos adatvédelem: Az Android 9 és újabb verziói beépített „Privát DNS" funkcióval rendelkeznek, amely natívan támogatja a DoT-ot. Bekapcsolhatod a beállításokban, és az összes DNS-lekérdezést titkosított feloldón keresztül irányíthatod – harmadik féltől származó alkalmazás nélkül.

Vállalati hálózatok: Az informatikai csapatok a DoT-ot arra használják, hogy megakadályozzák az alkalmazottak vagy a hálózaton lévő támadók számára a belső DNS-lekérdezések lehallgatását, csökkentve a DNS-hamisítás vagy a közbeékelődéses (man-in-the-middle) támadások kockázatát.

Újságírók és aktivisták: Az erős internetfelügyelettel rendelkező régiókban a DNS-lekérdezések titkosítása egy érdemi adatvédelmi réteget ad hozzá, megnehezítve a megfigyelőrendszerek számára, hogy csupán a DNS-forgalom alapján képet alkossanak az online viselkedésről.

A DoT önmagában nem teljes körű adatvédelmi megoldás – a tényleges webes forgalomhoz a teljes védelem érdekében még mindig szükség van HTTPS-re vagy VPN-re –, de bezár egy mindennapos internetes biztonságban gyakran figyelmen kívül hagyott rést.

DNS over TLS (DoT)Haladó

DNS over TLS (DoT): Tartsd titokban a doménnév-lekérdezéseidet

Mi is ez?

Hogyan működik?

Miért fontos ez a VPN-felhasználóknak?

Gyakorlati példák és felhasználási esetek

// FAQ