És DoT o DoH més segur?

Igualment segur per al propi xifratge. Les diferències són operatives. DoT és més senzill; DoH és més difícil de bloquejar. Per a la majoria dels usuaris, o bé funciona bé.

Per què Android utilitza DoT en lloc de DoH?

Simplicitat operativa: DoT funciona amb una configuració de nom d'amfitrió sense requerir anàlisi d'URL ni biblioteques HTTP. El DNS privat d'Android va ser el primer desplegament del DoT del consumidor; El suport de DoH en DNS a nivell de sistema operatiu ha arribat més tard.

La meva xarxa pot bloquejar DoT?

Sí, el port 853 està dedicat al DoT i es pot bloquejar sense trencar res més. Moltes xarxes empresarials ho fan per fer complir l'ús de DNS intern o per habilitar la supervisió. DoH al port 443 és molt més difícil de bloquejar.

He d'utilitzar DoT a casa?

Útil si voleu un DNS xifrat a tots els dispositius mitjançant una única configuració. El DNS privat d'Android és el camí més senzill; La configuració del DoT a nivell d'encaminador cobreix tots els dispositius. L'avantatge és reduir el que el vostre ISP pot veure sobre els vostres dominis de destinació.

DoT impedeix que el meu ISP registri les meves consultes?

Sí, si utilitzeu un solucionador que no sigui ISP. El vostre ISP veu el DoT xifrat a un solucionador públic (Cloudflare, Quad9) i no pot llegir les consultes. El resolutor públic els veu, amb les seves pròpies polítiques de registre. La confiança passa de l'ISP a la solució.

DNS sobre TLS explicat: el germà més silenciós de DoH

DNS a través de TLS xifra les consultes de DNS de la mateixa manera que ho fa DNS a través d'HTTPS, però al seu propi port i com a protocol propi en lloc de tunelitzar-los dins d'HTTPS. Els dos es confonen sovint; les diferències són importants per a escenaris de desplegament específics.

El cos complet de l'article es proporciona en anglès a continuació.

DNS sobre TLS (DoT) és el protocol DNS xifrat definit per RFC 7858 (2016). Embolcalla les consultes DNS en una connexió TLS al port TCP 853, un port dedicat per a DNS xifrat. El protocol complementari DNS over HTTPS (DoH) utilitza HTTPS al port 443 i sembla que no es pot distingir del trànsit web. Tots dos xifren la consulta DNS en trànsit entre el client i el resolutor; les diferències són operatives i no teòriques de seguretat.

Com funciona DoT

Client obre una connexió TCP al resolutor al port 853.
TLS estableix un canal xifrat.

PLZ11

Client obre una connexió TCP al resolutor al port 853.
TLS estableix un canal xifrat. a través de TCP.
El resolutor retorna respostes DNS a través de la mateixa connexió TLS.
La connexió es pot mantenir activa per a múltiples consultes: redueix la sobrecàrrega d'encaix de mans.

DoT vs DoH comparació

	DoT	DoH
Port	853XPLZ 33X	443
Protocol	Dedicat	HTTPS
Xarxa visibilitat	Iidentificable com a DNS	Barrejat amb el trànsit web
Resistència al bloqueig	Emés fàcil de bloquejar (bloquejar el port 853)	H hauria de trencar el bloqueig (bloquejar el port 853) web)
Elusió de la censura	Weaker	Stronger
Filtratge d'operadors de xarxa	E més fàcil de reconèixer DNS	Més difícil: sembla web
Estandardització	RFC 7858 (2016)	RFC 8484 (2018)
Compatibilitat amb el navegador	Cap (només al nivell del sistema operatiu)	Natiu a Chrome, Firefox, etc.
OS, suport LinuxPLZPLZ9XOS, i LinuxPLZPLZ9XOS (2018) systemd-resolved	Limit a nivell de sistema operatiu; creixent

Where DoT wins

OS-level deployment. La funció "Private DNS" d'Android utilitza DoT. Activat, encamina tots els DNS del dispositiu a través d'un solucionador de DoT xifrat, independentment de quina aplicació faci consultes.
Enterprise network management. Els departaments informàtics poden veure que el trànsit DNS està passant (port 853) sense veure el contingut. Permet que la política de xarxa permeti DNS encriptat tot distingint-lo del trànsit web.
Simplicitat operacional per a solucionadors. Sense capa HTTP, sense anàlisi d'URL complexa, menys codi.
PLZ117XPLZ117XPLZ117XPLZ1 capçalera per consulta HTTP9; només el missatge DNS en si.

On guanya DoH

Resistència a la censura. Bloquejar DoH significa bloquejar HTTPS, que trenca el web. Bloquejar DoT només vol dir bloquejar el port 853, que té pocs danys col·laterals.
Compatibilitat nativa del navegador. Firefox i Chrome poden utilitzar DoH sense canvis del sistema operatiu.
EInfraestructura existent.Qualsevol servidor pot oferir HTTPS-Capable; DoT requereix una configuració específica del servidor.
Millor a través de xarxes restrictives. Els portals captius i els tallafocs corporatius sovint permeten 443 sense restriccions.

Principals proveïdors de DoT Compatibilitat amb solucions públiques

XPLZ1444 ambdós:
Cloudflare: 1.1.1.1 al port 853 (DoT), també cloudflare-dns.com per a DoH
XXPLZ1: 8.8.8.8 al port 853, també dns.google
Quad9: 9.9.9.9 al port 853, també dns.quad9.net
AdGuard: 94.140.14.14 al port 853: moltes variants per a nivells de filtrat
PLZ168X
PLZ168X
PLZ167X, tot l'oferta, DoDNS Open endpoints
Android Private DNS
L'ús més destacat de DoT per part dels consumidors és la funció Private DNS d'Android (Android 9+). Establiu a Configuració → Xarxa → Avançat → DNS privat a un nom d'amfitrió del proveïdor (p. ex., 1dot1dot1dot1.cloudflare-dns.com) i totes les consultes DNS del dispositiu utilitzen DoT per a aquest resolutor. Funciona amb mòbil i Wi-Fi; la xarxa no la pot anul·lar.
Aquesta és una de les actualitzacions de privadesa més netes disponibles per als usuaris d'Android: una única configuració que xifra el DNS per a totes les aplicacions del dispositiu, incloses les que no tenen els seus propis controls de privadesa.
Realitat operacional — tots dos proporcionen la mateixa protecció de contingut (xifra DNS, impedeix l'observació en el camí). Les diferències són importants per a:
Usuaris de xarxes restrictives on una està bloquejada i no l'altra
Entorns empresarials que necessiten una distinció a nivell de xarxa
OS desplegament a nivell de
OS on DoT té un millor suport
Ús només per al navegador on DoH és l'única opció pràctica per al patró DoH XPL8XXPLZXXPL: xifratge a nivell de sistema operatiu a tot el dispositiu, DoH per a DNS xifrat específic del navegador, tots dos s'executen amb un solucionador que respecti la privadesa.

Preguntes freqüents

És DoT o DoH més segur?: Igualment segur per al propi xifratge. Les diferències són operatives. DoT és més senzill; DoH és més difícil de bloquejar. Per a la majoria dels usuaris, o bé funciona bé.
Per què Android utilitza DoT en lloc de DoH?: Simplicitat operativa: DoT funciona amb una configuració de nom d'amfitrió sense requerir anàlisi d'URL ni biblioteques HTTP. El DNS privat d'Android va ser el primer desplegament del DoT del consumidor; El suport de DoH en DNS a nivell de sistema operatiu ha arribat més tard.
La meva xarxa pot bloquejar DoT?: Sí, el port 853 està dedicat al DoT i es pot bloquejar sense trencar res més. Moltes xarxes empresarials ho fan per fer complir l'ús de DNS intern o per habilitar la supervisió. DoH al port 443 és molt més difícil de bloquejar.
He d'utilitzar DoT a casa?: Útil si voleu un DNS xifrat a tots els dispositius mitjançant una única configuració. El DNS privat d'Android és el camí més senzill; La configuració del DoT a nivell d'encaminador cobreix tots els dispositius. L'avantatge és reduir el que el vostre ISP pot veure sobre els vostres dominis de destinació.
DoT impedeix que el meu ISP registri les meves consultes?: Sí, si utilitzeu un solucionador que no sigui ISP. El vostre ISP veu el DoT xifrat a un solucionador públic (Cloudflare, Quad9) i no pot llegir les consultes. El resolutor públic els veu, amb les seves pròpies polítiques de registre. La confiança passa de l'ISP a la solució.