Czy DoH jest tym samym co VPN?

Nie. DNS over HTTPS szyfruje wyłącznie zapytania DNS, czyli fazę wyszukiwania domeny. VPN natomiast szyfruje cały ruch sieciowy i ukrywa Twój adres IP przed odwiedzanymi stronami. DoH i VPN pełnią różne funkcje i mogą być używane jednocześnie, aby zapewnić lepszą ochronę prywatności.

Czy mój dostawca internetu może zablokować DoH?

Tak. Choć DoH jest trudniejszy do zablokowania niż zwykłe DNS, ponieważ wtapia się w ruch HTTPS, zdeterminowani dostawcy internetu lub cenzorzy mogą blokować znane publiczne resolwery DoH na podstawie ich adresów IP, takie jak 1.1.1.1 lub 8.8.8.8.

Czy włączenie DoH w przeglądarce wystarczy, by chronić moje zapytania DNS?

Włączenie DoH w przeglądarce chroni zapytania DNS generowane przez tę przeglądarkę. Jednak inne aplikacje na Twoim urządzeniu mogą nadal wysyłać niezaszyfrowane zapytania DNS. Aby uzyskać pełniejszą ochronę, warto skonfigurować DoH na poziomie systemu operacyjnego lub korzystać z VPN, który obsługuje DoH.

Czy DoH spowalnia przeglądanie internetu?

Różnica w szybkości jest zazwyczaj minimalna i niezauważalna dla przeciętnego użytkownika. W niektórych przypadkach korzystanie z publicznych resolwera DoH, takich jak 1.1.1.1 firmy Cloudflare, może być nawet szybsze niż domyślny serwer DNS dostawcy internetu, dzięki lepszej infrastrukturze i buforowaniu.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): czym jest i dlaczego ma znaczenie

Za każdym razem, gdy wpisujesz adres strony internetowej w przeglądarce, Twoje urządzenie wysyła zapytanie: „Jaki jest adres IP tej domeny?" Takie zapytanie nazywa się zapytaniem DNS i przez dziesięciolecia podróżowało przez internet jako zwykły tekst — całkowicie widoczne dla każdego, kto obserwował sieć. DNS over HTTPS (DoH) powstał właśnie po to, aby to naprawić.

Czym jest DoH

DNS over HTTPS to protokół, który opakowuje zapytania DNS w zaszyfrowany ruch HTTPS — ten sam rodzaj szyfrowania, który jest używany podczas logowania do banku lub robienia zakupów online. Zamiast być wysyłane w postaci jawnej, zapytania DNS są umieszczane w bezpiecznych połączeniach HTTPS i przesyłane do resolwera DNS zgodnego z DoH. Dla zewnętrznych obserwatorów ruch ten wygląda jak zwykłe przeglądanie sieci.

DoH został standaryzowany przez Internet Engineering Task Force (IETF) w dokumencie RFC 8484 w 2018 roku i od tamtej pory jest wbudowany w główne przeglądarki, takie jak Firefox, Chrome i Edge, a także w systemy operacyjne, takie jak Windows 11 i Android.

Jak to działa

Oto podstawowy schemat działania:

Wpisujesz `example.com` w przeglądarce.
Zamiast wysyłać niezaszyfrowane zapytanie UDP do serwera DNS Twojego dostawcy internetu na porcie 53, Twoje urządzenie wysyła zaszyfrowane zapytanie HTTPS do resolwera DoH (np. `1.1.1.1` firmy Cloudflare lub `8.8.8.8` firmy Google) na porcie 443.
Resolwer wyszukuje adres IP i odsyła odpowiedź — nadal zaszyfrowaną przez HTTPS.
Twoja przeglądarka łączy się ze stroną internetową.

Ponieważ zapytanie korzysta z portu 443 (standardowego portu HTTPS), wtapia się w normalny ruch internetowy. Pasywny obserwator w Twojej sieci — niezależnie od tego, czy jest to Twój dostawca internetu, administrator sieci, czy osoba obsługująca fałszywy hotspot Wi-Fi — nie jest w stanie łatwo odróżnić Twoich zapytań DNS od zwykłego ruchu HTTPS.

Dlaczego ma to znaczenie dla użytkowników VPN

Możesz się zastanawiać: skoro już korzystam z VPN, czy potrzebuję DoH? To uzasadnione pytanie, a odpowiedź zależy od Twojej konfiguracji.

Bez VPN DoH stanowi istotną poprawę w zakresie prywatności. Twój dostawca internetu nie może już łatwo rejestrować każdej odwiedzanej przez Ciebie domeny. Ma to szczególne znaczenie, biorąc pod uwagę, że w wielu krajach dostawcy internetu mają pozwolenie — a nawet obowiązek — zbierania i sprzedawania danych o przeglądaniu.

Z VPN Twoje zapytania DNS powinny być już kierowane przez tunel VPN i rozwiązywane przez własne serwery DNS dostawcy VPN. Jeśli jednak połączenie VPN zostanie przerwane lub błędnie skonfigurowane, może dojść do wycieku DNS — Twoje urządzenie zaczyna wysyłać zapytania DNS poza tunelem, ujawniając Twoją aktywność. Korzystanie z DoH w połączeniu z VPN (lub wybór VPN, który wewnętrznie wdraża DoH) dodaje dodatkową warstwę ochrony przed takimi wyciekami.

Warto również zaznaczyć, że DoH sam w sobie nie zastępuje VPN. DoH szyfruje wyłącznie fazę wyszukiwania domeny. Twój rzeczywisty adres IP pozostaje widoczny dla odwiedzanych stron internetowych, a Twój dostawca internetu nadal może śledzić, z jakimi adresami IP się łączysz — choć niekoniecznie, jakie nazwy domen wywołały te połączenia.

Praktyczne przykłady i przypadki użycia

Publiczne Wi-Fi: Po połączeniu się z siecią w kawiarni lub na lotnisku DoH uniemożliwia operatorowi sieci rejestrowanie zapytań DNS lub przekierowywanie ich do zmanipulowanego serwera.
Omijanie podstawowej cenzury: Niektórzy dostawcy internetu blokują strony internetowe, przechwytując zapytania DNS. DoH może ominąć blokady na poziomie DNS, ponieważ zapytania są szyfrowane i wysyłane do zewnętrznego resolwera. (Uwaga: zdeterminowani cenzorzy mogą nadal blokować resolwery DoH na podstawie ich adresów IP).
Ochrona na poziomie przeglądarki: Firefox i Chrome umożliwiają włączenie DoH bezpośrednio w ustawieniach, zapewniając zaszyfrowane DNS nawet wtedy, gdy nie korzystasz z VPN.
Środowiska korporacyjne: Administratorzy sieci często dyskutują o DoH, ponieważ może on omijać wewnętrzne kontrole DNS. Wiele organizacji konfiguruje DoH tak, aby ruch był kierowany przez zatwierdzone wewnętrzne resolwery zamiast publicznych.

DoH a DoT

DoH jest często porównywany z DNS over TLS (DoT) — innym protokołem szyfrowania DNS. Oba szyfrują ruch DNS, ale DoT korzysta z dedykowanego portu (853), który administratorzy sieci mogą łatwo zidentyfikować i filtrować. DoH wtapia się w zwykły ruch HTTPS, co utrudnia jego blokowanie — i jest to zarówno jego zaleta z punktu widzenia prywatności, jak i powód do obaw w kontekście kontroli sieci.

DNS over HTTPS (DoH)Średniozaawansowany