Sözlük
DNS-over-HTTPS (DoH) nedir
İstemcin ile resolver arasında DNS sorgularını şifreler. Sorguları ISP'den gizler. RFC 8484'te standartlaştırıldı. VPN'den farklı ama tamamlayıcı.
DNS-over-HTTPS (DoH), istemcin ile DNS resolver arasında DNS sorgularını şifreleyen protokoldür. 2018'de RFC 8484'te standartlaştırıldı, 2020'de yaygın olarak dağıtıldı. Spesifik bir gizlilik sorununu çözer: DNS sorguları varsayılan olarak düz metin ve ziyaret ettiğin her domain'i ISP'ne ve ağ trafiğini gözlemleyebilen herkese açar.
DoT (DNS-over-TLS) ilgili standart, aynı şeyi farklı taşıma kullanarak yapar (HTTPS port 443 yerine port 853 üzerinde TLS). İkisi de aynı amaca ulaşır; DoH HTTPS'e izin veren firewall'lardan geçtiği için daha yaygın destekleniyor.
DoH hangi sorunu çözer
Standart DNS sorguları şifresiz gönderir. Bilgisayarın "example.com için IP nedir?" diye sorar ve cevap düz metinde gelir. Ağı gözlemleyen herhangi biri — ISP'n, yerel Wi-Fi operatörü, ağ izleyicileri — sorguları görebilir.
Diğer trafiğin HTTPS şifreliyse bile DNS sorguların ziyaret ettiğin domain'leri açar. Site kendisi okunamaz; hangi siteleri ziyaret ettiğin metaverisi tamamen görünür.
DoH DNS sorgularını HTTPS'e sarar. Bilgisayarın DoH-destekleyen DNS resolver'a HTTPS POST yapar. Sorgu ve yanıt bilgisayarın ile resolver arasında şifreli. ISP yalnız DNS resolver'a şifreli HTTPS trafiği görür; hangi domain'leri sorguladığını göremez.
Güven kayması
DoH DNS sorgularını kimin gördüğünü değiştirir:
- DoH olmadan: ISP tüm DNS sorgularını görür
- Cloudflare 1.1.1.1'e DoH ile: Cloudflare DNS sorgularını görür; ISP görmez
- Google 8.8.8.8'e DoH ile: Google DNS sorgularını görür; ISP görmez
- NextDNS veya self-host resolver'a DoH ile: o taraf sorguları görür
Gizlilik kazancı gerçek ama DoH sağlayıcısına güvenmeye bağlı. Büyük DoH sağlayıcıları gizlilik politikaları yayınlar; bazıları (Cloudflare, Quad9, Mullvad) diğerlerinden daha güçlü no-logs taahhütlerine sahip. Güven kayması ödünleşim.
DoH VPN ile nereye uyar
Katmanlı:
VPN olmadan, DoH ile. ISP'n DNS resolver'a şifreli HTTPS görür. Sorgularını göremez. Bağlandığın hedefleri hâlâ görebilir (TLS handshake'lerindeki SNI üzerinden, IP seviyesinde bağlantı meta verisi) — DoH sadece DNS'i şifreler, trafiğin geri kalanını değil.
VPN ile, DoH yok. VPN sağlayıcının DNS'i sorgularını tünel içinde çözer. ISP'n yalnız şifreli VPN tünelini görür. VPN sağlayıcı DNS sorgularını görür.
Tünel içinde VPN + DoH ile. Katmanlı koruma. VPN sağlayıcı düz DNS yerine şifreli DoH trafiği görür. VPN sağlayıcının bile DNS sorgularına görünürlüğünü sınırlamak istiyorsan yararlı. Çoğu kullanıcı bu derinliğe ihtiyaç duymaz.
Çoğu kullanıcı için VPN tek başına yeterli. VPN tüm tüneli şifreler; DNS içinde yönlendirilir; VPN'in no-logs taahhüdü DNS görünürlüğünü kapsar. İçeride katmanlanmış DoH kemer artı askılık.
Tarayıcılarda DoH
Firefox bazı bölgelerde DoH'u varsayılan olarak etkinleştirir. Chrome gelişmiş ayarlarda DoH'u destekler. Edge destekler. iOS ve macOS, iOS 14 / macOS Big Sur'dan beri OS seviyesinde DoH'u destekler.
Tarayıcı seviyesi DoH OS DNS resolver'ı atlar. Bu demek:
- VPN'in DNS resolver'ı kullanılmayabilir (tarayıcı DoH üzerinden doğrudan gidiyor)
- VPN'in DNS sorgularını görmeyebilir (bazı yapılandırmalarda potansiyel sızıntı)
- Tarayıcının seçtiği DoH sağlayıcı sorguları görür
Tarayıcı DoH etkin VPN çalıştıran kullanıcılar için yapılandırma etkileşimi önemli. Çoğu modern VPN istemcisi (Fexyn, Mullvad, ProtonVPN) DoH trafiğini ağ katmanında keserek bunu doğru işler. Eski VPN istemcilerinde sızıntı koşulları olabilir.
DoT vs DoH
DNS-over-TLS (DoT) aynı şeyi port 853'te TLS ile yapar. DoH ile karşılaştırıldığında:
- DoT: özel port (853), açık DNS servisi, ağ operatörlerinin tanıması ve potansiyel olarak engellemesi daha kolay
- DoH: HTTPS port 443 üzerinde çalışır, normal web trafiğiyle karışır, seçici olarak engellenmesi daha zor
ISP'lerden gizlilik için DoH'un engellenmesi-daha-zor özelliği avantaj. DNS kullanımına görünürlük isteyen ağ yöneticileri için DoT izlenmesi daha kolay.
Yaygın sağlayıcılar
Büyük DoH-destekleyen public resolver'lar:
- Cloudflare 1.1.1.1. Güçlü no-logs iddiası. 1.1.1.2'de reklam-engelleyici varyant. 1.1.1.3'te aile-güvenli varyant.
- Google 8.8.8.8. Kişisel kullanıcı verisi için no-logs; Google toplamayı tutar.
- Quad9 9.9.9.9. Gizlilik odaklı; kâr amacı gütmeyen operasyon.
- NextDNS. Yapılandırılabilir; kullanıcıya özel filtreleme. Güçlü gizlilikle abonelik modeli.
- Mullvad DNS. Gizlilik odaklı; Mullvad VPN servisiyle eşleştirilmiş.
VPN olmadan tarayıcı seviyesi DoH isteyen kullanıcılar için Cloudflare 1.1.1.1 standart öneri. Hızlı, güvenilir, no-logs.
DoH neyi çözmez
- Hedef hâlâ görünür. ISP'n DNS sorgusunu göremez ama bağlandığın IP'yi ve TLS handshake'teki SNI'yı görebilir. Domain'i yine öğrenir, sadece farklı bir vektörden.
- Uygulama seviyesinde izleme devam eder. Tarayıcı parmak izleme, çerezler, giriş yapılmış servisler — hepsi hâlâ çalışır.
- DoH sağlayıcı sorguları görür. Güven onlara kayar.
Kapsamlı DNS gizliliği için DoH + VPN + VPN tüneli içinde no-logs DNS sağlayıcı büyük vektörleri kapsar. Yalnız ISP gizliliği için DoH tek başına kısmi; VPN daha tam.
Fexyn'i 7 gün ücretsiz dene — tünel içinde no-logs DNS çözümlemeyle VPN; katmanlı DoH desteği mevcut.
İlgili terimler
Fexyn'i 7 gün ücretsiz dene
Windows uygulaması Beta'da mevcut. WireGuard, VLESS Reality ve OpenVPN — tarama geçmişi, DNS sorgusu veya trafik içeriği logları tutulmaz.
Fiyatlandırma