DNS over HTTPS (DoH)Intermediar

DNS over HTTPS (DoH): Ce Este și De Ce Contează

De fiecare dată când introduci adresa unui site web în browser, dispozitivul tău trimite o întrebare: „Care este adresa IP pentru acest domeniu?" Această întrebare se numește interogare DNS și, timp de decenii, a călătorit prin internet în text simplu — complet expusă oricui monitoriza rețeaua. DNS over HTTPS (DoH) a fost creat tocmai pentru a remedia această problemă.

Ce Este

DNS over HTTPS este un protocol care înglobează interogările tale DNS în trafic HTTPS criptat — același tip de criptare folosit atunci când te conectezi la banca ta online sau faci cumpărături pe internet. În loc ca solicitările tale DNS să fie trimise în mod deschis, acestea sunt încapsulate în conexiuni HTTPS securizate și trimise către un resolver DNS compatibil cu DoH. Pentru observatorii externi, traficul arată ca o navigare web obișnuită.

DoH a fost standardizat de Internet Engineering Task Force (IETF) prin RFC 8484 în 2018 și a fost integrat ulterior în browsere importante precum Firefox, Chrome și Edge, precum și în sisteme de operare precum Windows 11 și Android.

Cum Funcționează

Iată fluxul de bază:

1. Introduci `example.com` în browser.
2. În loc să trimită o solicitare UDP în text simplu către serverul DNS al ISP-ului tău pe portul 53, dispozitivul tău trimite o solicitare HTTPS criptată către un resolver DoH (precum `1.1.1.1` de la Cloudflare sau `8.8.8.8` de la Google) pe portul 443.
3. Resolverul caută adresa IP și trimite răspunsul înapoi — tot criptat prin HTTPS.
4. Browserul tău se conectează la site-ul web.

Deoarece interogarea folosește portul 443 (portul standard HTTPS), aceasta se integrează în traficul web normal. Un observator pasiv din rețeaua ta — fie că este vorba despre ISP-ul tău, un administrator de rețea sau cineva care rulează un hotspot Wi-Fi neautorizat — nu poate distinge cu ușurință căutările tale DNS de orice alt trafic HTTPS.

De Ce Contează pentru Utilizatorii VPN

S-ar putea să te întrebi: dacă folosesc deja un VPN, am nevoie și de DoH? Este o întrebare justificată, iar răspunsul depinde de configurația ta.

Fără un VPN, DoH reprezintă o îmbunătățire semnificativă a confidențialității. ISP-ul tău nu mai poate înregistra cu ușurință fiecare domeniu pe care îl vizitezi. Acest lucru este deosebit de relevant, având în vedere că ISP-urilor din multe țări li se permite — sau chiar li se impune — să colecteze și să vândă date de navigare.

Cu un VPN, interogările tale DNS ar trebui să fie deja rutate prin tunelul VPN și rezolvate de serverele DNS proprii ale furnizorului VPN. Cu toate acestea, dacă conexiunea VPN se întrerupe sau este configurată incorect, poate apărea o scurgere DNS — dispozitivul tău revine la trimiterea interogărilor DNS în afara tunelului, expunând activitatea ta. Utilizarea DoH alături de un VPN (sau alegerea unui VPN care implementează DoH intern) adaugă un nivel suplimentar de protecție împotriva acestor scurgeri.

Merită, de asemenea, menționat că DoH singur nu este un înlocuitor pentru un VPN. DoH criptează doar faza de căutare a domeniului. Adresa ta IP reală rămâne vizibilă pentru site-urile web pe care le vizitezi, iar ISP-ul tău poate vedea în continuare la ce adrese IP te conectezi — doar că nu neapărat ce nume de domenii au generat acele conexiuni.

Exemple Practice și Cazuri de Utilizare

• Wi-Fi public: Când ești conectat la rețeaua unei cafenele sau a unui aeroport, DoH împiedică operatorul rețelei să înregistreze interogările tale DNS sau să le redirecționeze către un server manipulat.
• Ocolirea cenzurii de bază: Unii ISP blochează site-uri web prin interceptarea interogărilor DNS. DoH poate eluda blocajele la nivel DNS, deoarece interogările sunt criptate și trimise către un resolver extern. (Notă: cei care aplică cenzura cu determinare pot bloca în continuare resolverele DoH prin IP.)
• Protecție la nivel de browser: Firefox și Chrome îți permit să activezi DoH direct din setări, oferindu-ți DNS criptat chiar și atunci când nu ești conectat la un VPN.
• Medii enterprise: Administratorii de rețea dezbat adesea utilizarea DoH, deoarece acesta poate eluda controalele DNS interne. Multe organizații configurează DoH pentru a ruta traficul prin resolvere interne aprobate, în loc de cele publice.

DoH vs. DoT

DoH este adesea comparat cu DNS over TLS (DoT), un alt protocol de criptare DNS. Ambele criptează traficul DNS, dar DoT folosește un port dedicat (853) pe care administratorii de rețea îl pot identifica și filtra cu ușurință. DoH se integrează în traficul HTTPS obișnuit, făcându-l mai greu de blocat — ceea ce reprezintă atât un avantaj pentru confidențialitate, cât și o preocupare din perspectiva controlului rețelei.