Secure DNS: DoH, DoT, DoQ
≈ 2 мин
Классический DNS создавался в эпоху доверенных сетей.
Запрос отправлялся по UDP на порт 53 — без шифрования и без аутентификации.
Любой промежуточный узел мог видеть:
- домен
- время запроса
- частоту обращений
Даже если сам сайт открывается по HTTPS, DNS долгое время оставался открытым текстом.
Secure DNS появился как попытка закрыть именно этот слой.
DNS over TLS (DoT)
DoT стандартизирован в RFC 7858.
Работает поверх TLS и использует порт 853.
Принцип простой:
между клиентом и резолвером устанавливается зашифрованный TLS-канал, внутри которого передаются обычные DNS-запросы.
Плюсы:
- защита от прослушивания на уровне провайдера
- защита от подмены ответа (при проверке сертификата)
Минусы:
- отдельный порт легко фильтруется
- виден сам факт использования DoT
Инфраструктурно DoT ближе к традиционной модели DNS.
DNS over HTTPS (DoH)
DoH описан в RFC 8484.
DNS-запросы инкапсулируются в HTTPS-трафик и передаются по порту 443.
Это делает трафик внешне неотличимым от обычного веб-соединения.
Сетевые фильтры не могут просто заблокировать его по порту.
DoH чаще реализуется на уровне приложения или браузера.
Например, Firefox и Chrome могут использовать собственный DoH-резолвер, минуя системные настройки.
Побочный эффект — централизация.
Многие клиенты используют публичные резолверы (Cloudflare, Google), что концентрирует DNS-трафик у крупных операторов.
DNS over QUIC (DoQ)
DoQ стандартизирован в RFC 9250.
Использует транспорт QUIC поверх UDP.
QUIC обеспечивает:
- встроенное шифрование (TLS 1.3)
- быстрое установление соединения
- меньшую задержку при повторных запросах
DoQ решает проблему head-of-line blocking, характерную для TCP.
Это особенно заметно при большом числе параллельных DNS-запросов.
С точки зрения наблюдаемости — трафик зашифрован, но использование UDP делает его потенциально более заметным для фильтрации в жёстких сетях.
Что меняется на практике
Secure DNS скрывает содержимое запроса от локального провайдера и пассивных наблюдателей.
Но:
- IP-адрес целевого сервера остаётся видимым
- сам факт обращения к конкретному резолверу виден
- доверие переносится к оператору DNS
Если используется публичный резолвер, именно он получает полную картину доменных запросов.
Шифрование не устраняет сбор данных.
Оно меняет сторону, которая их видит.
Финал
DoT, DoH и DoQ закрывают уязвимость классического DNS.
Это технически корректный шаг вперёд.
Но Secure DNS — это не анонимность.
Это защита канала.
Вопрос приватности остаётся вопросом доверия к тому, кто отвечает на запрос.
@secondcontour
_______
Источник | #secondcontour
@F_S_C_P