DNS przez HTTPS (DoH) to nowa technologia prywatności, która szybko zyskuje na popularności. Protokół dodaje szyfrowanie do zapytań systemu nazw domen (DNS), chroniąc je przed wścibskimi oczami. Jednocześnie wzbudził pewien sceptycyzm w branży.

Rzućmy okiem na zalety i wady DoH i dowiedzmy się, jak ją włączyć w Twojej ulubionej przeglądarce.

Co to jest DNS?

Urządzenia komunikują się przez Internet przy użyciu unikalnych adresów IP, które są ciągami cyfr oddzielonymi kropkami, np 172.217.1.174 (w przypadku IPv4) lub ciągi liter i cyfr oddzielone dwukropkami, np 2607: f8b0: 400b: 809:: 200e (IPv6).

(Te konkretne adresy należą do Google.)

Na szczęście nie musisz zapamiętywać żadnych adresów IP, aby przeglądać internet. Zamiast tego wpisujesz łatwe do zapamiętania domeny, takie jak google.com do paska adresu przeglądarki.

Związane z: Jaka jest nazwa domeny?

I tu właśnie pojawia się DNS. System nazw domen jest zasadniczo ogólnoświatowym katalogiem nazw domen i powiązanych z nimi adresów IP. W tle Twoja przeglądarka wysyła zapytanie do serwera DNS, który tłumaczy nazwy domen na adresy IP zrozumiałe dla Twojego komputera.

instagram viewer

Co jest nie tak ze zwykłym DNS?

Głównym problemem związanym z konwencjonalnym DNS jest to, że zapytania są przesyłane przez sieć całkowicie niezaszyfrowane, co ułatwia szpiegom sprawdzenie, jakie witryny odwiedzasz.

Poniższy zrzut ekranu zawiera dane wyjściowe z popularnego narzędzia do analizy sieci WireShark, przechwycone podczas przeglądania MUO.

Zwróć uwagę, jak domain makeuseof.com pojawia się jako zwykły tekst. Te same informacje byłyby dostępne dla każdego, kto kliknie połączenie. Może to obejmować Twojego dostawcę usług internetowych, rząd lub dowolną osobę w tej samej sieci Wi-Fi, która używa sniffera pakietów, takiego jak WireShark.

W jaki sposób pomaga DNS przez HTTPS?

Dzięki DoH Twój ruch DNS jest przesyłany przez zaszyfrowany tunel przy użyciu HTTPS, tej samej technologii, która jest używana do szyfrowania rzeczywistej zawartości sesji przeglądania. Poniższe zdjęcie pokazuje, jak komunikacja DoH wygląda dla potencjalnych szpiegów.

Widzimy, że przeglądarka komunikuje się z adresem IPv6 2606: 4700:: 6810: f8f9, który należy do publicznej usługi DNS Cloudflare. Ale same zapytania są zaszyfrowane i pojawiają się jako losowe niepotrzebne dane każdemu, kto je przechwyci.

Włączanie DNS przez HTTPS w przeglądarce

Ponieważ DoH jest rozwijającą się technologią, jej implementacja jest nieco inna w każdej przeglądarce.

Google i Mozilla powoli udostępniają ją użytkownikom w ciągu ostatnich kilku miesięcy, więc postępując zgodnie z poniższymi krokami, może się okazać, że jest już włączona.

Jak włączyć DNS przez HTTPS w Chrome

  1. Kliknij trzy pionowe kropki w prawym górnym rogu i wybierz Ustawienia.
  2. Kliknij Bezpieczeństwo pod Prywatność i ochrona nagłówek.
  3. Włącz Użyj bezpiecznego DNS opcja pod zaawansowane nagłówek.
  4. Zostaw przycisk opcji obok Z obecnym dostawcą usług wybrano do korzystania z usług obecnego operatora * lub wybierz Z i wybierz jedną z dostępnych alternatyw.

* Pamiętaj, że większość dostawców DNS nie obsługuje obecnie DoH, więc nie powinieneś polegać na swoim domyślnym dostawcy, chyba że możesz potwierdzić, że obsługuje protokół.

Jak włączyć DNS przez HTTPS w przeglądarce Firefox

  1. Kliknij ikonę hamburgera w prawym górnym rogu i wybierz Opcje.
  2. Przewiń na dół strony i kliknij Ustawienia pod Ustawienia sieci nagłówek.
  3. Zaznacz pole wyboru oznaczone Włącz DNS przez HTTPS.
  4. Wybierz żądanego dostawcę DNS z listy oznaczonej Użyj dostawcylub wybierz Zwyczaj korzystać z serwera niestandardowego.
  5. Kliknij ok aby zapisać zmiany.

Jak włączyć DNS przez HTTPS w Microsoft Edge

  1. Kliknij trzy poziome kropki w prawym górnym rogu i wybierz Ustawienia.
  2. Kliknij Prywatność, wyszukiwanie i usługi w menu po lewej stronie.
  3. Przewiń w dół do Bezpieczeństwo nagłówek.
  4. Zostawić Użyj obecnego dostawcy usług przycisk opcji zaznaczony, aby korzystać z obecnego dostawcy, lub wybierz Wybierz usługodawcę korzystać z serwera niestandardowego.

Którego dostawcę wybrać?

Obecnie najpopularniejsze opcje to Google i Cloudflare. Jeśli wolisz ich unikać, możesz skonsultować się z lista alternatywnych dostawców DoH.

Dlaczego DNS w protokole HTTPS jest kontrowersyjny?

Niektórzy eksperci IT krytykowali DoH za utrudnianie monitorowania ruchu DNS w uzasadnionych celach, takich jak wykrywanie złośliwego oprogramowania lub egzekwowanie kontroli rodzicielskiej.

Firma Google rozwiązała niektóre z tych problemów, podając w post na blogu że takie kontrole będą nadal działać z ich implementacją DoH i że organizacje mogą całkowicie wyłączyć DoH, jeśli to konieczne.

Sprowadza się to do tego, co bardziej cenimy prywatność użytkownika lub widoczność dla administratorów. Ponieważ główne przeglądarki planują w końcu domyślnie udostępnić wszystkim DoH, wygląda na to, że ta pierwsza wygrała w tym przypadku.

Wady DNS przez HTTPS

Istnieje kilka innych obaw związanych z DNS przez HTTPS, o których należy pamiętać.

Nie zapobiega wszystkim formom szpiegowania

DoH szyfruje tylko zapytania DNS, pozostawiając inne części ruchu internetowego podatne na podsłuchiwanie:

  • Adresy IP są nadal niezaszyfrowane.
  • Ze względu na funkcję HTTPS zwaną Server Name Indication (SNI), nazwy hostów witryn internetowych są przesyłane w postaci niezaszyfrowanej

Wyciek adresu IP jest nieco łagodzony przez fakt, że wiele witryn może współistnieć pod tym samym adresem IP, co utrudnia określenie, którą odwiedziłeś. Jest też powód do optymizmu co do SNI, jak nazywa się nadchodząca technologia Zaszyfrowany klient Hello (ECH) obiecuje zaszyfrować.

Na razie, jeśli potrzebujesz bardziej niezawodnego rozwiązania w zakresie prywatności, rozważ użycie VPN lub sieci Tor.

Związane z: Naprawdę prywatne przeglądanie: nieoficjalny przewodnik użytkownika po Tor

Powrót do niezaszyfrowanego DNS

Inny potencjalny problem występuje, gdy dostawca DNS nie jest w stanie rozwiązać zapytania, na przykład w przypadku błędnego wpisania domeny.

To, co dzieje się w tym przypadku, zależy od konkretnej implementacji DoH. Obecnie Chrome wraca do domyślnego serwera DNS systemu, który dla większości ludzi byłby nieszyfrowany. Może to spowodować wyciek prywatności.

Ewoluująca technologia

DNS przez HTTPS to obiecujące podejście do dodawania dodatkowego bezpieczeństwa do przeglądania stron internetowych.

Chociaż nadal trzeba rozwiązać kilka problemów, warto włączyć funkcję DoH w przeglądarce, aby chronić się przed atakami typu man-in-the-middle i innymi naruszeniami prywatności.

E-mail
Co to jest atak typu Man-in-the-Middle?

Atak man-in-the-middle jest jednym z najstarszych oszustw. Ale jak to działa w Internecie i jak to rozpoznać?

Powiązane tematy
  • Bezpieczeństwo
  • DNS
  • HTTPS
O autorze
Najeeb Rahman (Opublikowano 2 artykuły)Więcej od dostawcy Najeeb Rahman

Zapisz się do naszego newslettera

Dołącz do naszego biuletynu, aby otrzymywać wskazówki techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Jeszcze jeden krok…!

Potwierdź swój adres e-mail w wiadomości e-mail, którą właśnie wysłaliśmy.

.