DNS ผ่าน TLS (DoT)
DNS ผ่าน TLS เข้ารหัสการสืบค้น DNS ในลักษณะเดียวกับที่ DNS ผ่าน HTTPS ทำ แต่ในพอร์ตของตัวเองและเป็นโปรโตคอลของตัวเอง แทนที่จะอุโมงค์ภายใน HTTPS ทั้งสองสับสนบ่อยครั้ง ความแตกต่างมีความสำคัญสำหรับสถานการณ์การใช้งานเฉพาะ
เนื้อหาบทความฉบับเต็มมีให้เป็นภาษาอังกฤษด้านล่าง
DNS บน TLS (DoT) เป็นโปรโตคอล DNS ที่เข้ารหัสที่กำหนดโดย RFC 7858 (2016) มันล้อมการสืบค้น DNS ในการเชื่อมต่อ TLS บนพอร์ต TCP 853 — พอร์ตเฉพาะสำหรับ DNS ที่เข้ารหัส โปรโตคอลสหาย DNS บน HTTPS (DoH) ใช้ HTTPS บนพอร์ต 443 และดูแยกไม่ออกจากการเข้าชมเว็บ ทั้งเข้ารหัสการสืบค้น DNS ในระหว่างการส่งผ่านระหว่างไคลเอนต์และตัวแก้ไข ความแตกต่างนั้นมีการปฏิบัติงานมากกว่าในทางทฤษฎีด้านความปลอดภัย
How DoT ทำงาน
- Client เปิดการเชื่อมต่อ TCP ไปยังตัวแก้ไขบนพอร์ต 853
- TLS handshake สร้างช่องทางที่เข้ารหัส การสอบถาม
- DNS จะถูกส่งผ่านการเชื่อมต่อ TLS เป็นข้อความนำหน้าความยาว ซึ่งเป็นรูปแบบเดียวกับ DNS ผ่าน TCP.
- ตัวแก้ไขส่งคืนการตอบสนอง DNS ผ่านการเชื่อมต่อ TLS เดียวกัน
- การเชื่อมต่อสามารถเก็บไว้ได้สำหรับการสืบค้นหลายรายการ — ลดค่าใช้จ่ายในการจับมือ
DoT เทียบกับ DoH การเปรียบเทียบ
| DoT | DoH | |
|---|---|---|
| Port | 853XPLZ 33X | 443 |
| โปรโตคอล | เฉพาะ | HTTPS |
| เครือข่าย การมองเห็น | Iระบุเป็น DNS | ผสมกับการรับส่งข้อมูลเว็บ |
| ความต้านทานต่อการบล็อก | บล็อกง่ายกว่า (บล็อกพอร์ต 853) | บล็อกยากกว่า (จะพัง web) |
| การหลบเลี่ยงการเซ็นเซอร์ | Weaker | Stronger |
| การกรองตัวดำเนินการเครือข่าย | ง่ายกว่า — เป็นที่รู้จักในนาม DNS | Harder — ดูเหมือน web |
| Standardization | RFC 7858 (2016) | RFC 8484 (2018) |
| Browser support | None (ระดับ OS เท่านั้น) | Native ใน Chrome, Firefox, ฯลฯ |
| OS รองรับ | Android (Private DNS), Linux systemd-resolved | Lจำกัดที่ระดับ OS; กำลังเติบโต |
โดยที่ DoT ชนะ
- OS การปรับใช้ระดับ คุณสมบัติ "Private DNS" ของ Android ใช้ DoT เปิดใช้งาน โดยจะกำหนดเส้นทาง DNS ของอุปกรณ์ทั้งหมดผ่านตัวแก้ไข DoT ที่เข้ารหัส ไม่ว่าแอปใดกำลังทำการสืบค้น
- การจัดการเครือข่ายระดับองค์กร แผนกไอทีสามารถเห็นว่าการรับส่งข้อมูล DNS เกิดขึ้น (พอร์ต 853) โดยไม่เห็นเนื้อหา อนุญาตให้นโยบายเครือข่ายอนุญาต DNS ที่เข้ารหัสในขณะที่ยังคงแยกความแตกต่างจากการรับส่งข้อมูลเว็บ
- ความเรียบง่ายในการดำเนินงานสำหรับตัวแก้ไข ไม่มีเลเยอร์ HTTP ไม่มีการแยกวิเคราะห์ URL ที่ซับซ้อน รหัสน้อยลง
- Lower overhead ไม่มีส่วนหัว HTTP ต่อการสืบค้น; แค่ข้อความ DNS เท่านั้น
โดยที่ DoH ชนะ
- การต้านทานการเซ็นเซอร์ การบล็อก DoH หมายถึงการบล็อก HTTPS ซึ่งจะทำให้เว็บพัง การบล็อก DoT หมายถึงการบล็อกพอร์ต 853 ซึ่งมีหลักประกันเสียหายเพียงเล็กน้อย
- Browser รองรับเนทิฟ Firefox และ Chrome สามารถใช้ DoH ได้โดยไม่ต้องเปลี่ยนแปลงระบบปฏิบัติการ
- โครงสร้างพื้นฐานที่มีอยู่ เซิร์ฟเวอร์ที่รองรับ HTTPS ใดๆ สามารถเสนอ DoH ได้; DoT ต้องการการกำหนดค่าเซิร์ฟเวอร์เฉพาะ
- ดีกว่าผ่านเครือข่ายที่มีข้อจำกัด Captive Portal และไฟร์วอลล์ขององค์กรมักจะอนุญาต 443 โดยไม่มีข้อจำกัด
Major DoT provider
Most public Resolvers ทั้งสอง:
- Cloudflare:
1.1.1.1บนพอร์ต 853 (DoT) — และcloudflare-dns.comสำหรับ DoH - Google:
8.8.8.8บนพอร์ต 853 — รวมถึงdns.google - Quad9:
9.9.9.9บนพอร์ต 853 — ด้วยdns.quad9.net - AdGuard:
94.140.14.14บนพอร์ต 853 — มีหลายรูปแบบสำหรับการกรองระดับ - NextDNS, ControlD, OpenDNS — ทั้งหมดมี DoT จุดสิ้นสุด
Android Private DNS
การใช้งาน DoT ที่โดดเด่นที่สุดสำหรับผู้บริโภคคือฟีเจอร์ DNS ส่วนตัวของ Android (Android 9+) ตั้งค่าในการตั้งค่า → เครือข่าย → ขั้นสูง → DNS ส่วนตัวไปยังชื่อโฮสต์ของผู้ให้บริการ (เช่น 1dot1dot1dot1.cloudflare-dns.com) และคำสั่ง DNS ทั้งหมดจากอุปกรณ์ใช้ DoT กับตัวแก้ไขนั้น ทำงานผ่านมือถือและ Wi-Fi เครือข่ายไม่สามารถแทนที่มันได้
นี่คือหนึ่งในการอัพเกรดความเป็นส่วนตัวที่ชัดเจนที่สุดสำหรับผู้ใช้ Android: การตั้งค่าเดียวที่เข้ารหัส DNS สำหรับทุกแอปบนอุปกรณ์ รวมถึงแอพที่ไม่มีการควบคุมความเป็นส่วนตัวของตัวเอง
ความเป็นจริงในการดำเนินงาน
สำหรับผู้ใช้ส่วนใหญ่ ตัวเลือก DoT กับ DoH นั้นไม่สำคัญมากนัก - ทั้งคู่ให้การปกป้องเนื้อหาที่เหมือนกัน (เข้ารหัส DNS ป้องกันการสังเกตบนเส้นทาง) ความแตกต่างมีความสำคัญสำหรับ:
- ผู้ใช้ในเครือข่ายที่มีข้อจำกัดซึ่งมีเครือข่ายหนึ่งถูกบล็อกและไม่ใช่สภาพแวดล้อมองค์กร
- อื่นที่ต้องการความแตกต่างระดับเครือข่าย
- OS การปรับใช้ระดับที่ DoT รองรับได้ดีกว่า
- การใช้งานเบราว์เซอร์เท่านั้นโดยที่ DoH เป็นตัวเลือกที่ใช้งานได้จริงเท่านั้น
รูปแบบที่สมบูรณ์: DoT สำหรับการเข้ารหัสระดับ OS ทั่วทั้งอุปกรณ์, DoH สำหรับ DNS ที่เข้ารหัสเฉพาะเบราว์เซอร์ ทั้งคู่ทำงานกับรีโซลเวอร์ที่เคารพความเป็นส่วนตัว
คำถามที่พบบ่อย
- DoT หรือ DoH ปลอดภัยกว่าหรือไม่?
- มีความปลอดภัยเท่าเทียมกันสำหรับการเข้ารหัสเอง ความแตกต่างนั้นใช้งานได้จริง Dot นั้นง่ายกว่า DoH บล็อกยากกว่า สำหรับผู้ใช้ส่วนใหญ่ก็ใช้ได้ดีเช่นกัน
- เหตุใด Android จึงใช้ DoT แทน DoH
- ความเรียบง่ายในการดำเนินงาน — DoT ทำงานร่วมกับการกำหนดค่าชื่อโฮสต์โดยไม่ต้องมีการแยกวิเคราะห์ URL หรือไลบรารี HTTP DNS ส่วนตัวของ Android เป็นการปรับใช้ DoT ของผู้บริโภคในช่วงแรก การรองรับ DoH ใน DNS ระดับ OS มีมาในภายหลัง
- เครือข่ายของฉันสามารถบล็อก DoT ได้หรือไม่?
- ใช่ — พอร์ต 853 มีไว้สำหรับ DoT โดยเฉพาะ และสามารถบล็อกได้โดยไม่ทำลายสิ่งอื่นใด เครือข่ายองค์กรจำนวนมากทำเช่นนี้เพื่อบังคับใช้การใช้ DNS ภายในหรือเพื่อเปิดใช้งานการตรวจสอบ DoH บนพอร์ต 443 นั้นบล็อกได้ยากกว่ามาก
- ฉันควรใช้ DoT ที่บ้านหรือไม่?
- มีประโยชน์หากคุณต้องการเข้ารหัส DNS ในทุกอุปกรณ์ผ่านการตั้งค่าเดียว DNS ส่วนตัวของ Android เป็นเส้นทางที่ง่ายที่สุด การกำหนดค่า DoT ระดับเราเตอร์ครอบคลุมอุปกรณ์ทั้งหมด ข้อดีคือลดสิ่งที่ ISP ของคุณสามารถดูเกี่ยวกับโดเมนปลายทางของคุณได้
- DoT ป้องกัน ISP ของฉันจากการบันทึกคำถามของฉันหรือไม่?
- ได้ หากคุณใช้รีโซลเวอร์ที่ไม่ใช่ ISP ISP ของคุณเห็น DoT ที่เข้ารหัสไปยังรีโซลเวอร์สาธารณะ (Cloudflare, Quad9) และไม่สามารถอ่านข้อความค้นหาได้ ตัวแก้ไขสาธารณะจะมองเห็นสิ่งเหล่านั้นพร้อมกับนโยบายการบันทึกของตนเอง ความเชื่อถือเปลี่ยนจาก ISP เป็นตัวแก้ไข