DNS-over-HTTPS

DNS over HTTPS (DoH) je protokol pro šifrovanou komunikaci počítače s DNS serverem při překladu doménového jména (např. seznam.cz) na IP adresu. Využitím HTTPS znemožňuje nepřímé sledování toho, jaké webové stránky uživatel navštěvuje a poskytuje tím uživateli soukromí.[1] DoH používá síťový port 443, takže ho není možné snadno odlišit od běžného webového provozu a blokovat na rozdíl od DNS over TLS, které má zase nižší režii a zajišťuje vyšší míru soukromí než DoH.[1]

Pro úplné zabezpečení proti odposlechu síťové komunikace uživatele je nutná ještě aktivní podpora rozšíření ECH (tj. šifrované SNI) a pro zajištění ochrany proti podvržení falešné odpovědi ještě DNSSEC.[1] V roce 2025 je v některých prohlížečích nutné podporu DoH zapnout. Správci některých sítí mohou DoH vypínat, přesměrovávat nebo blokovat, aby mohli zajistit některé druhy ochrany svých uživatelů nebo zákonné požadavky (např. pomocí Response policy zone). DoH umožňuje uživatelům obcházet blokování některých služeb pomocí firewallů (např. firemních, ale též např. v Rusku, Číně, Íránu, Spojených arabských emirátech a podobně). Na úrovni operačního systému poskytuje DoH systém iOS 14 (2020), Windows 11 (2021), Android 11 (2022), avšak je možná podpora i na úrovni jednotlivých aplikací.[1]

Charakteristika

[editovat | editovat zdroj]

Aby mohla být zobrazena ve webovém prohlížeči webová stránka, musí počítač nejprve převést název doménového jména (např. seznam.cz) na IP adresu. Teprve po zjištění IP adresy může být zahájena komunikace s webovým serverem, který pošle zpět stránku, která je uživateli ve webovém prohlížeči zobrazena. Převod doménového jména na IP adresu zajišťuje v počítačové síti DNS server (tzv. rekurzivní resolver). DNS dotazy na převod jsou posílány v otevřené (čitelné) formě pomocí UDP protokolu, kterou je možné podvrhnout (pozměnit) nebo sledovat (odposlouchávat komunikaci v počítačové síti) a nepřímo tak zjistit, jaké webové stránky uživatel navštěvuje.

DoH umožňuje zabezpečit DNS dotazy pomocí šifrovaného protokolu HTTPS. Protokol HTTPS je používán i pro šifrovaný přenos webové stránky do prohlížeče, což zabezpečení zjednodušuje (je použita vyzkoušená technologie) a díky použití standardního síťového portu 443 pro HTTPS nelze DoH komunikaci odlišit od jiného běžného síťového provozu (navštěvování webových stránek). DoH tak uživatelům zajišťuje soukromí a bezpečnost, protože kromě zamezení odposlechu také znemožňuje manipulaci s odpověďmi (nelze uživateli podstrčit falešnou odpověď) a útoky man-in-the-middle.[2]

Nasazení DoH

[editovat | editovat zdroj]

DoH bylo testováno od března 2018 firmami Google a Mozilla Foundation,[3][4] když byl vydán návrhu standardu DoH v RFC 8484 (říjen 2018). V únoru 2020 přešel Firefox ve výchozím nastavení na DoH pro uživatele ve Spojených státech.[5] V červnu 2022 vyšlo RFC 9230 pro Oblivious DNS over HTTPS (ODoH), které řeší problém anonymizace dotazů na DoH resolver pomocí proxy. Klient se ptá proxy, která předá dotaz DoH resolveru. Šifrování zajistí, že proxy nemůže číst dotazy nebo odpovědi a přítomnost proxy zajistí, že resolver neví, pro kterého klienta dotazy řeší.[6][7]

Alternativou k DoH je protokol DNS over TLS (DoT), který se liší pouze metodami používanými pro šifrování a doručování, přičemž výhodnost nasazení záleží na konkrétních podmínkách.[8]

Podpora v prohlížečích

[editovat | editovat zdroj]

Ve webových prohlížečích je DoH možné nastavit pomocí:

  • Chrome: Nastavení → Ochrana → Zabezpečení → Používat zabezpečené DNS
  • Firefox: Nastavení → Soukromí → DNS over HTTPS

Zjištění stavu DoH

[editovat | editovat zdroj]

Správnou funkci DoH lze ověřit jen v případě, že operační systém (nebo používaný webový prohlížeč) používá stejný DoH server, jako kontrolní stránka. Pokud se tedy jeví DoH jako vypnutý, může to jen znamenat, že testujeme stav služby u jiného subjektu, než který nám poskytuje DoH. Mezi veřejné poskytovatele DoH patří například:

Podpora v operačních systémech

[editovat | editovat zdroj]

Apple

[editovat | editovat zdroj]

Apple iOS 14 a macOS 11 vydané na konci roku 2020 podporují protokoly DoH i DoT.[9][10] V iOS mohou být protokoly nastaveny pomocí konfiguračních profilů.

Windows

[editovat | editovat zdroj]

V listopadu 2019 oznámila firma Microsoft plány na implementaci DoH v Microsoft Windows.[11] V květnu 2020 byl vydán Windows 10 Insider Preview Build 19628, který obsahoval úvodní podporu DoH[12] společně s instrukcemi, jak jej povolit pomocí nastavení v registrech a příkazovém řádku.[13] Do Windows 10 Insider Preview Build 20185 bylo přidáno grafické rozhraní pro výběr DoH resolveru.[14] DoH support nebyl zahrnut ani do Windows 10 21H2 ani do verze 22H2 (aplikace musí mít vlastní implementaci DoH).[15] Windows 11 obsahují podporu DoH.[16]

Seznam DoH serverů lze vypsat v Powershellu pomocí příkazu Get-DNSClientDohServerAddress.[17]

Android

[editovat | editovat zdroj]

Android 11 a novější podporují DNS over HTTP/3 (DoH3), pokud je nainstalována aktualizace systému z července 2022.[18]

Odkazy

[editovat | editovat zdroj]

Reference

[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku DNS-over-HTTPS na anglické Wikipedii.

  1. a b c d KŘÍŽEK, Tomáš. DNS-over-TLS (DoT) vs. DNS-over-HTTPS (DoH) a šifrování DNS v Knot Resolveru. Root.cz [online]. 2020-12-01 [cit. 2025-02-28]. Dostupné online. 
  2. CHIRGWIN, Richard. IETF protects privacy and helps net neutrality with DNS over HTTPS. www.theregister.com [online]. [cit. 2023-11-28]. Dostupné online. (anglicky) 
  3. JSON API for DNS over HTTPS (DoH). Google for Developers [online]. 2021-08-09 [cit. 2023-11-28]. Dostupné online. (anglicky) 
  4. CIMPANU, Catalin. Mozilla Is Testing "DNS over HTTPS" Support in Firefox. BleepingComputer [online]. 2018-03-20 [cit. 2023-11-28]. Dostupné online. (anglicky) 
  5. BHATTACHARJEE, Monojoy. “A long-overdue technological shift toward online privacy”: Firefox encrypts domain names. Google to follow. [online]. Media Makers Meet, 2020-02-26 [cit. 2023-11-28]. Dostupné online. (anglicky) 
  6. KINNEAR, Eric; MCMANUS, Patrick; PAULY, Tommy. Oblivious DNS Over HTTPS. [s.l.]: [s.n.] Dostupné online. 
  7. WHITTAKER, Zack. Cloudflare and Apple design a new privacy-friendly internet protocol [online]. 2020-12-08 [cit. 2025-02-27]. Dostupné online. (anglicky) 
  8. CLABURN, Thomas. Google rolls out pro-privacy DNS-over-HTTPS support in Chrome 83... with a handy kill switch for corporate IT. TheRegister.com [online]. 2020-05-20 [cit. 2023-11-28]. Dostupné online. (anglicky) 
  9. JUNE 2020, Anthony Spadafora 29. Apple devices will get encrypted DNS in iOS 14 and macOS 11 [online]. 29 June 2020 [cit. 2020-07-01]. Dostupné v archivu pořízeném z originálu dne 2020-07-01. (anglicky) 
  10. CIMPANU, Catalin. Apple adds support for encrypted DNS (DoH and DoT) [online]. [cit. 2020-07-02]. Dostupné v archivu pořízeném z originálu dne 2020-06-27. (anglicky) 
  11. GALLAGHER, Sean. Microsoft says yes to future encrypted DNS requests in Windows [online]. 2019-11-19 [cit. 2019-11-20]. Dostupné v archivu pořízeném z originálu dne 2019-11-19. (anglicky) 
  12. Announcing Windows 10 Insider Preview Build 19628 [online]. 13 May 2020 [cit. 2020-05-13]. Dostupné v archivu pořízeném z originálu dne 18 May 2020. 
  13. Windows Insiders can now test DNS over HTTPS [online]. 13 May 2020 [cit. 2020-07-07]. Dostupné v archivu pořízeném z originálu dne 15 May 2020. 
  14. BRINKMANN, Martin. Windows 10 build 20185 comes with encrypted DNS settings - gHacks Tech News [online]. 6 August 2020 [cit. 2020-08-06]. Dostupné v archivu pořízeném z originálu dne 2020-08-15. 
  15. MANDIOHLINGER. What's new in Windows 10, version 21H2 for IT pros - What's new in Windows [online]. [cit. 2022-02-09]. Dostupné online. (anglicky) 
  16. How to Configure and Use DNS-Over-HTTPS (DoH) in Windows 11 [online]. 2021-07-28 [cit. 2021-10-20]. Dostupné online. (anglicky) 
  17. ORIN, Thomas. Secure DNS Client over HTTPS (DoH) on Windows Server 2022. learn.microsoft.com [online]. Microsoft, 2023-12-03 [cit. 2025-02-27]. Dostupné online. (anglicky) 
  18. DNS-over-HTTP/3 in Android [online]. Dostupné online. (anglicky) 

Související články

[editovat | editovat zdroj]

Externí odkazy

[editovat | editovat zdroj]