Secure DNS: DoH, DoT, DoQ

 Secure DNS: DoH, DoT, DoQ

≈ 2 мин

Классический DNS создавался в эпоху доверенных сетей.
Запрос отправлялся по UDP на порт 53 — без шифрования и без аутентификации.

Любой промежуточный узел мог видеть:

- домен
- время запроса
- частоту обращений

Даже если сам сайт открывается по HTTPS, DNS долгое время оставался открытым текстом.

Secure DNS появился как попытка закрыть именно этот слой.

DNS over TLS (DoT)

DoT стандартизирован в RFC 7858.
Работает поверх TLS и использует порт 853.

Принцип простой:
между клиентом и резолвером устанавливается зашифрованный TLS-канал, внутри которого передаются обычные DNS-запросы.

Плюсы:

- защита от прослушивания на уровне провайдера
- защита от подмены ответа (при проверке сертификата)

Минусы:

- отдельный порт легко фильтруется
- виден сам факт использования DoT

Инфраструктурно DoT ближе к традиционной модели DNS.

DNS over HTTPS (DoH)

DoH описан в RFC 8484.
DNS-запросы инкапсулируются в HTTPS-трафик и передаются по порту 443.

Это делает трафик внешне неотличимым от обычного веб-соединения.

Сетевые фильтры не могут просто заблокировать его по порту.

DoH чаще реализуется на уровне приложения или браузера.
Например, Firefox и Chrome могут использовать собственный DoH-резолвер, минуя системные настройки.

Побочный эффект — централизация.
Многие клиенты используют публичные резолверы (Cloudflare, Google), что концентрирует DNS-трафик у крупных операторов.

DNS over QUIC (DoQ)

DoQ стандартизирован в RFC 9250.
Использует транспорт QUIC поверх UDP.

QUIC обеспечивает:

- встроенное шифрование (TLS 1.3)
- быстрое установление соединения
- меньшую задержку при повторных запросах

DoQ решает проблему head-of-line blocking, характерную для TCP.
Это особенно заметно при большом числе параллельных DNS-запросов.

С точки зрения наблюдаемости — трафик зашифрован, но использование UDP делает его потенциально более заметным для фильтрации в жёстких сетях.

Что меняется на практике

Secure DNS скрывает содержимое запроса от локального провайдера и пассивных наблюдателей.

Но:

- IP-адрес целевого сервера остаётся видимым
- сам факт обращения к конкретному резолверу виден
- доверие переносится к оператору DNS

Если используется публичный резолвер, именно он получает полную картину доменных запросов.

Шифрование не устраняет сбор данных.
Оно меняет сторону, которая их видит.

Финал

DoT, DoH и DoQ закрывают уязвимость классического DNS.
Это технически корректный шаг вперёд.

Но Secure DNS — это не анонимность.
Это защита канала.

Вопрос приватности остаётся вопросом доверия к тому, кто отвечает на запрос.

@secondcontour

_______
Источник | #secondcontour
@F_S_C_P