DNS over TLS (DoT)
DNS over TLS krypterer DNS-forespørgsler på samme måde som DNS over HTTPS gør, men på sin egen port og som sin egen protokol i stedet for tunneleret inde i HTTPS. De to bliver ofte forvirrede; forskellene har betydning for specifikke implementeringsscenarier.
Hele artiklens krop findes på engelsk nedenfor.
DNS over TLS (DoT) er den krypterede DNS-protokol defineret af RFC 7858 (2016). Den pakker DNS-forespørgsler i en TLS-forbindelse på TCP-port 853 - en dedikeret port til krypteret DNS. Den ledsagende protokol DNS over HTTPS (DoH) bruger HTTPS på port 443 og ser ikke ud til at kunne skelnes fra webtrafik. Begge krypterer DNS-forespørgslen i transit mellem klient og resolver; forskellene er operationelle snarere end sikkerhedsteoretiske.
Sådan virker DoT
- Client åbner en TCP-forbindelse til resolveren på port 853.
- TLS-håndtryk etablerer en krypteret kanal.
- DNS-meddelelser sendes over TLS-forespørgslerne, samme meddelelser sendes over TLS-forespørgslerne. som DNS over TCP.
- Resolveren returnerer DNS-svar gennem den samme TLS-forbindelse.
- Forbindelsen kan holdes i live for flere forespørgsler — reducerer overhead ved håndtryk.
DoT vs. DoH sammenligning
| DoT | DoH | ||
|---|---|---|---|
| Port | 853XPLZ 33X | 443 | |
| Protocol | Dedikeret | HTTPS | |
| Netværk synlighed | Identificerbar som DNS | Blandet med webtrafik | |
| Modstand mod blokering | Lettere at blokere (bloker port 853)XPLZ57HXXPLZ (blokerer port 853)XPLZ57HXXPLZ web) | ||
| Censuromgåelse | Weaker | Stronger | |
| Netværksoperatørfiltrering | Genkendelig som — genkendelig DNS | Harder — ligner web | |
| Standardisering | RFC 7858 (2016) | RFC 8484 (2018) | |
| Browserunderstøttelse | Ingen (kun OS-niveau) | Native i Chrome, Firefox osv. systemd-resolved | Lbegrænset på OS-niveau; voksende |
Hvor DoT vinder
- OS-implementering på niveau. Androids "Privat DNS"-funktion bruger DoT. Aktiveret ruter den al enheds DNS gennem en krypteret DoT-resolver, uanset hvilken app der foretager forespørgsler.
- Enterprise netværksadministration. IT-afdelinger kan se, at der sker DNS-trafik (port 853) uden at se indholdet. Tillader netværkspolitik at tillade krypteret DNS, mens den stadig adskiller det fra webtrafik.
- Operationel enkelhed for resolvere. Intet HTTP-lag, ingen kompleks URL-parsing, mindre kode.
- XLower overhead19.XXLower overhead19.XXLower; kun selve DNS-meddelelsen.
Hvor DoH vinder
- Censurmodstand. Blokering af DoH betyder blokering af HTTPS, hvilket bryder nettet. Blokering af DoT betyder blot at blokere port 853, som har ringe sideskader.
- Browser native support. Firefox og Chrome kan bruge DoH uden OS-ændringer.
- Eksisterende infrastruktur kan tilbyde HTTP3cap5XPLS1XPLZ1. DoT kræver specifik serverkonfiguration.
- Bedre gennem restriktive netværk. Captive-portaler og virksomhedsfirewalls tillader ofte 443 uden begrænsning.
Større DoT-udbydere
XMoversst public resol143XXMo begge:- Cloudflare:
1.1.1.1på port 853 (DoT) — ogsåcloudflare-dns.comtil DoH XGoogle:13XX - Quad9:
9.9.9.9på port 853 — ogsådns.quad9.net - AdGuard:
94.140.14.14på port 853 — mange varianter til filtreringsniveauer - DNextDNS, — Alle tilbud, DoTNS endpoints
8.8.8.8 på port 853 — også dns.googleAndroid Private DNS
Den mest fremtrædende forbrugerbrug af DoT er Androids Private DNS-funktion (Android 9+). Indstil i Indstillinger → Netværk → Avanceret → Privat DNS til en udbyders værtsnavn (f.eks. 1dot1dot1dot1.cloudflare-dns.com), og alle DNS-forespørgsler fra enheden bruger DoT til denne resolver. Fungerer på tværs af mobilnetværk og Wi-Fi; netværket kan ikke tilsidesætte det.
Dette er en af de reneste privatlivsopgraderinger, der er tilgængelige for Android-brugere: en enkelt indstilling, der krypterer DNS for hver app på enheden, inklusive dem, der ikke har deres egne privatlivskontrolelementer.
Den operationelle virkelighedXPLZ181For de fleste brugere betyder meget, det betyder ikke meget for de fleste brugere. begge giver den samme indholdsbeskyttelse (krypter DNS, forhindre observation på stien). Forskellene har betydning for: - Brugere i restriktive netværk, hvor det ene er blokeret og ikke det andet
- Enterprise-miljøer, der har brug for skel på netværksniveau
- OS-udrulning på niveau, hvor DoT har bedre understøttelse
- Browser-kun-brug, hvor DoH er den eneste praktiske mulighed for DoPLXZ 89 mønster: Enhedsdækkende kryptering på OS-niveau, DoH for browserspecifik krypteret DNS, begge kører mod en resolver, der respekterer privatlivets fred.
Ofte stillede spørgsmål
- Er DoT eller DoH sikrere?
- Lige så sikker for selve krypteringen. Forskellene er operationelle. DoT er enklere; DoH er sværere at blokere. For de fleste brugere fungerer enten fint.
- Hvorfor bruger Android DoT i stedet for DoH?
- Operationel enkelhed - DoT fungerer med en værtsnavnkonfiguration uden at kræve URL-parsing eller HTTP-biblioteker. Androids private DNS var den tidlige forbruger DoT-implementering; DoH-understøttelse i OS-niveau DNS er kommet senere.
- Kan mit netværk blokere DoT?
- Ja — port 853 er dedikeret til DoT og kan blokeres uden at bryde noget andet. Mange virksomhedsnetværk gør dette enten for at håndhæve intern DNS-brug eller for at aktivere overvågning. DoH på port 443 er meget sværere at blokere.
- Skal jeg bruge DoT derhjemme?
- Nyttigt, hvis du ønsker krypteret DNS på tværs af alle enheder gennem en enkelt indstilling. Androids private DNS er den enkleste vej; konfiguration af DoT på routerniveau dækker alle enheder. Fordelen er at reducere, hvad din internetudbyder kan se om dine destinationsdomæner.
- Forhindrer DoT min internetudbyder i at logge mine forespørgsler?
- Ja, hvis du bruger en ikke-ISP-resolver. Din internetudbyder ser krypteret DoT til en offentlig resolver (Cloudflare, Quad9) og kan ikke læse forespørgslerne. Den offentlige resolver ser dem med deres egne logningspolitikker. Tilliden skifter fra internetudbyder til resolver.