DNS over TLS (DoT)Średniozaawansowany

DNS over TLS (DoT): Ochrona prywatności Twoich zapytań domenowych

Za każdym razem, gdy wpisujesz adres strony internetowej w przeglądarce, Twoje urządzenie wysyła zapytanie DNS — w istocie pytając serwer: „Jaki jest adres IP tej domeny?" Tradycyjnie zapytania te przesyłane są przez internet jako zwykły tekst, co oznacza, że dostawca internetu, administratorzy sieci lub każda osoba monitorująca połączenie może dokładnie zobaczyć, które strony próbujesz odwiedzić. DNS over TLS, powszechnie skracany jako DoT, został zaprojektowany właśnie po to, aby rozwiązać ten problem.

Czym jest DoT

DNS over TLS to protokół sieciowy, który opakowuje zapytania DNS w szyfrowane połączenie TLS (Transport Layer Security) — tę samą technologię, która chroni Twój serwis bankowy czy logowanie do poczty e-mail. Zamiast wysyłać żądania „gdzie jest ta strona?" na widoku, DoT zapewnia, że są one zaszyfrowane jeszcze przed opuszczeniem urządzenia. Protokół został formalnie ustandaryzowany w 2016 roku w dokumencie RFC 7858 i od tego czasu został przyjęty przez głównych dostawców DNS, w tym Cloudflare (1.1.1.1), Google (8.8.8.8) i innych.

Jak to działa

Normalnie ruch DNS odbywa się przez port 53 i wykorzystuje UDP lub TCP bez żadnego szyfrowania. DoT zmienia to poprzez ustanowienie dedykowanego połączenia TLS na porcie 853. Oto podstawowy przebieg:

1. Twoje urządzenie (lub resolver DNS) inicjuje uzgadnianie TLS z serwerem DNS, weryfikując jego tożsamość za pomocą certyfikatów cyfrowych.
2. Po ustanowieniu zaszyfrowanego tunelu zapytanie DNS podróżuje przez niego — całkowicie ukryte przed zewnętrznymi obserwatorami.
3. Serwer DNS przetwarza żądanie i odsyła odpowiedź tym samym zaszyfrowanym kanałem.
4. Twoje urządzenie używa zwróconego adresu IP, aby połączyć się ze stroną internetową.

Ponieważ DoT działa na dedykowanym porcie (853), administratorzy sieci i firewalle mogą łatwo identyfikować ruch DoT i — jeśli zdecydują się na to — blokować go. To jedna z kluczowych różnic w stosunku do jego bliskiego odpowiednika, DNS over HTTPS (DoH), który miesza ruch DNS ze zwykłym ruchem internetowym na porcie 443 i jest trudniejszy do zablokowania.

Dlaczego ma to znaczenie dla użytkowników VPN

Możesz się zastanawiać — skoro już korzystam z VPN, czy muszę przejmować się DoT? To uzasadnione pytanie. VPN szyfruje cały Twój ruch, łącznie z zapytaniami DNS, gdy jest poprawnie skonfigurowany. Istnieją jednak pewne istotne niuanse:

• Wycieki DNS: Jeśli klient VPN nie jest właściwie skonfigurowany, zapytania DNS mogą niekiedy omijać zaszyfrowany tunel VPN i trafiać bezpośrednio do resolvera dostawcy internetu jako zwykły tekst. Wyciek DNS może ujawnić Twoją aktywność przeglądania nawet wtedy, gdy wydaje Ci się, że jesteś chroniony. DoT zapewnia dodatkową warstwę szyfrowania, która pomaga się przed tym zabezpieczyć.
• Środowiska bez VPN: Nie każdy korzysta z VPN przez cały czas. W otwartych sieciach Wi-Fi, w pracy czy korzystając z danych mobilnych, DoT chroni zapytania DNS niezależnie od VPN.
• Inwigilacja i throttling ze strony dostawcy internetu: Bez zaszyfrowanego DNS Twój dostawca internetu może rejestrować każdą odwiedzaną domenę i potencjalnie sprzedawać te metadane lub wykorzystywać je do spowalniania określonych usług. DoT uniemożliwia mu odczytywanie tych zapytań.

Praktyczne przykłady i przypadki użycia

Bezpieczeństwo sieci domowej: Skonfigurowanie routera lub lokalnego resolvera DNS do korzystania z DoT (kierując zapytania do resolvera dbającego o prywatność, takiego jak Cloudflare lub Quad9) oznacza, że każde urządzenie w Twojej sieci korzysta z zaszyfrowanych zapytań DNS — bez konieczności instalowania czegokolwiek na poszczególnych urządzeniach.

Prywatność na urządzeniach mobilnych: Android 9 i nowsze wersje zawierają wbudowaną funkcję „Prywatny DNS", która natywnie obsługuje DoT. Możesz ją włączyć w ustawieniach i kierować wszystkie zapytania DNS przez zaszyfrowany resolver bez żadnej aplikacji zewnętrznej.

Sieci korporacyjne: Zespoły IT używają DoT, aby uniemożliwić pracownikom lub atakującym znajdującym się w sieci przechwytywanie wewnętrznych zapytań DNS, zmniejszając ryzyko podszywania się pod DNS lub ataków typu man-in-the-middle.

Dziennikarze i aktywiści: W regionach z intensywnym monitorowaniem internetu szyfrowanie zapytań DNS dodaje istotną warstwę prywatności, utrudniając systemom inwigilacji budowanie obrazu zachowań online wyłącznie na podstawie ruchu DNS.

DoT nie jest samodzielnym, kompletnym rozwiązaniem w zakresie prywatności — rzeczywisty ruch internetowy nadal wymaga HTTPS lub VPN dla pełnej ochrony — jednak zamyka lukę w codziennym bezpieczeństwie internetowym, która jest zbyt często pomijana.