DoH có thực sự bảo vệ quyền riêng tư của tôi không?

DoH cải thiện đáng kể quyền riêng tư của bạn bằng cách mã hóa các truy vấn DNS, ngăn ISP và những kẻ quan sát mạng nhìn thấy tên miền bạn tra cứu. Tuy nhiên, nó không ẩn địa chỉ IP thực của bạn hay toàn bộ lưu lượng internet. Để bảo vệ toàn diện hơn, nên kết hợp DoH với VPN.

DoH và VPN khác nhau như thế nào?

DoH chỉ mã hóa các truy vấn DNS của bạn — tức là phần tra cứu tên miền. VPN mã hóa toàn bộ lưu lượng internet của bạn và ẩn địa chỉ IP thực của bạn. Cả hai có thể được sử dụng cùng nhau để tăng cường bảo vệ, nhưng không thể thay thế cho nhau.

Tôi có thể bật DoH trên thiết bị của mình không?

Có. Hầu hết các trình duyệt lớn như Firefox, Chrome và Edge đều có tùy chọn bật DoH trong phần cài đặt. Windows 11 và Android cũng hỗ trợ DoH ở cấp hệ thống. Ngoài ra, nhiều nhà cung cấp VPN đã tích hợp DoH vào ứng dụng của họ.

Nếu tôi đang dùng VPN, tôi có cần DoH không?

Thông thường thì không bắt buộc, vì VPN đã xử lý các truy vấn DNS thông qua đường hầm được mã hóa. Tuy nhiên, nếu kết nối VPN bị ngắt, DoH có thể giúp ngăn DNS leak bằng cách vẫn giữ các truy vấn DNS được mã hóa. Chọn VPN có tính năng bảo vệ DNS leak tích hợp sẵn là giải pháp tốt nhất.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): Khái Niệm và Tầm Quan Trọng

Mỗi khi bạn nhập địa chỉ một trang web vào trình duyệt, thiết bị của bạn gửi đi một yêu cầu: "Địa chỉ IP của tên miền này là gì?" Yêu cầu đó được gọi là truy vấn DNS, và trong nhiều thập kỷ, nó được truyền qua internet ở dạng văn bản thuần túy — hoàn toàn lộ ra trước bất kỳ ai đang theo dõi mạng. DNS over HTTPS (DoH) được tạo ra để khắc phục điều đó.

DoH Là Gì

DNS over HTTPS là một giao thức bọc các truy vấn DNS của bạn bên trong lưu lượng HTTPS được mã hóa — cùng loại mã hóa được sử dụng khi bạn đăng nhập vào ngân hàng hoặc mua sắm trực tuyến. Thay vì các yêu cầu DNS được gửi đi công khai, chúng được đóng gói bên trong các kết nối HTTPS bảo mật và gửi đến một DNS resolver tương thích với DoH. Đối với những người quan sát từ bên ngoài, lưu lượng này trông giống như hoạt động duyệt web thông thường.

DoH được chuẩn hóa bởi Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF) trong RFC 8484 vào năm 2018 và kể từ đó đã được tích hợp vào các trình duyệt lớn như Firefox, Chrome và Edge, cũng như các hệ điều hành như Windows 11 và Android.

Cách Hoạt Động

Đây là quy trình cơ bản:

Bạn nhập `example.com` vào trình duyệt.
Thay vì gửi một yêu cầu UDP dạng văn bản thuần túy đến máy chủ DNS của ISP trên cổng 53, thiết bị của bạn gửi một yêu cầu HTTPS được mã hóa đến một DoH resolver (như `1.1.1.1` của Cloudflare hoặc `8.8.8.8` của Google) trên cổng 443.
Resolver tra cứu địa chỉ IP và gửi lại câu trả lời — vẫn được mã hóa qua HTTPS.
Trình duyệt của bạn kết nối đến trang web.

Vì truy vấn sử dụng cổng 443 (cổng HTTPS tiêu chuẩn), nó hòa lẫn vào lưu lượng web thông thường. Một người quan sát thụ động trên mạng của bạn — dù đó là ISP, quản trị viên mạng hay ai đó đang vận hành một điểm phát Wi-Fi giả mạo — không thể dễ dàng phân biệt các truy vấn DNS của bạn với bất kỳ lưu lượng HTTPS nào khác.

Tại Sao DoH Quan Trọng Đối Với Người Dùng VPN

Bạn có thể thắc mắc: nếu tôi đã dùng VPN, tôi có cần DoH không? Đây là câu hỏi hợp lý, và câu trả lời phụ thuộc vào cách thiết lập của bạn.

Không có VPN, DoH là một cải tiến đáng kể về quyền riêng tư. ISP của bạn không còn có thể dễ dàng ghi lại mọi tên miền bạn truy cập. Điều này đặc biệt quan trọng khi các ISP ở nhiều quốc gia được phép — hoặc thậm chí bị yêu cầu — thu thập và bán dữ liệu duyệt web.

Khi có VPN, các truy vấn DNS của bạn đáng lẽ đã được định tuyến qua đường hầm VPN và được phân giải bởi các máy chủ DNS riêng của nhà cung cấp VPN. Tuy nhiên, nếu kết nối VPN bị ngắt hoặc cấu hình sai, có thể xảy ra hiện tượng DNS leak — thiết bị của bạn quay lại gửi các truy vấn DNS ra ngoài đường hầm, làm lộ hoạt động của bạn. Sử dụng DoH kết hợp với VPN (hoặc chọn VPN tích hợp DoH bên trong) bổ sung thêm một lớp bảo vệ chống lại những rò rỉ đó.

Cũng cần lưu ý rằng DoH một mình không thể thay thế VPN. DoH chỉ mã hóa giai đoạn tra cứu tên miền. Địa chỉ IP thực của bạn vẫn hiển thị với các trang web bạn truy cập, và ISP của bạn vẫn có thể thấy bạn đang kết nối đến địa chỉ IP nào — chỉ là không nhất thiết biết tên miền nào đã kích hoạt các kết nối đó.

Ví Dụ Thực Tế và Các Trường Hợp Sử Dụng

Wi-Fi công cộng: Khi kết nối đến mạng ở quán cà phê hay sân bay, DoH ngăn nhà điều hành mạng ghi lại các truy vấn DNS của bạn hoặc chuyển hướng chúng đến một máy chủ bị can thiệp.
Vượt qua kiểm duyệt cơ bản: Một số ISP chặn trang web bằng cách chặn các truy vấn DNS. DoH có thể vượt qua các chặn ở cấp độ DNS vì các truy vấn được mã hóa và gửi đến một resolver bên ngoài. (Lưu ý: các cơ quan kiểm duyệt có thể vẫn chặn các DoH resolver theo địa chỉ IP.)
Bảo vệ ở cấp trình duyệt: Firefox và Chrome cho phép bạn bật DoH trực tiếp trong phần cài đặt, cung cấp DNS được mã hóa ngay cả khi bạn không dùng VPN.
Môi trường doanh nghiệp: Các quản trị viên mạng thường tranh luận về DoH vì nó có thể bỏ qua các kiểm soát DNS nội bộ. Nhiều tổ chức cấu hình DoH để định tuyến qua các resolver nội bộ được chấp thuận thay vì các resolver công cộng.

DoH so với DoT

DoH thường được so sánh với DNS over TLS (DoT), một giao thức mã hóa DNS khác. Cả hai đều mã hóa lưu lượng DNS, nhưng DoT sử dụng một cổng riêng (853) mà quản trị viên mạng có thể dễ dàng nhận diện và lọc. DoH hòa lẫn vào lưu lượng HTTPS thông thường, khiến nó khó bị chặn hơn — đây vừa là điểm mạnh về quyền riêng tư, vừa là mối lo ngại đối với việc kiểm soát mạng.

DNS over HTTPS (DoH)Trung cấp