Existují různé způsoby, jak chránit vaše dotazy DNS, ale každý přístup má své vlastní silné a slabé stránky.
Domain Name System (DNS) je široce považován za telefonní seznam internetu, převádí doménová jména na informace, které mohou číst počítače, jako jsou IP adresy.
Kdykoli napíšete název domény do adresního řádku, DNS jej automaticky převede na odpovídající IP adresu. Váš prohlížeč používá tyto informace k načtení dat z původního serveru a načtení webu.
Počítačoví zločinci však mohou často sledovat provoz DNS, takže je nutné šifrování, aby bylo vaše procházení webu soukromé a bezpečné.
Co jsou šifrovací protokoly DNS?
Šifrovací protokoly DNS jsou navrženy tak, aby zvýšily soukromí a zabezpečení vaší sítě nebo webu pomocí šifrování dotazů a odpovědí DNS. DNS dotazy a odpovědi jsou pravidelně zasílány v prostém textu, což kyberzločincům usnadňuje zachycení a manipulaci s komunikací.
Šifrovací protokoly DNS těmto hackerům stále více ztěžují zobrazení a úpravu vašich citlivých dat nebo narušení vaší sítě. Existují různé
šifrovaných poskytovatelů DNS, kteří mohou chránit vaše dotazy před zvědavýma očima.Nejběžnější šifrovací protokoly DNS
V současnosti se používá několik šifrovacích protokolů DNS. Tyto šifrovací protokoly lze použít k zabránění snoopingu v síti šifrováním provozu buď v rámci protokolu HTTPS přes připojení TLS (Transport Layer Security).
1. DNSCrypt
DNSCrypt je síťový protokol, který šifruje veškerý provoz DNS mezi počítačem uživatele a obecnými jmennými servery. Protokol používá infrastrukturu veřejných klíčů (PKI) k ověření pravosti serveru DNS a vašich klientů.
Využívá dva klíče, veřejný klíč a soukromý klíč k ověření komunikace mezi klientem a serverem. Když je zahájen dotaz DNS, klient jej zašifruje pomocí veřejného klíče serveru.
Zašifrovaný dotaz je poté odeslán na server, který dotaz dešifruje pomocí svého soukromého klíče. DNSCrypt tak zajišťuje, že komunikace mezi klientem a serverem je vždy ověřená a šifrovaná.
DNSCrypt je relativně starší síťový protokol. Byl z velké části nahrazen DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH) kvůli širší podpoře a silnějším zárukám zabezpečení, které tyto novější protokoly poskytují.
2. DNS-over-TLS
DNS-over-TLS šifruje váš DNS dotaz pomocí Transport Layer Security (TLS). TLS zajišťuje, že váš dotaz DNS je šifrovaný end-to-end, předcházení útokům typu man-in-the-middle (MITM)..
Když používáte DNS-over-TLS (DoT), váš DNS dotaz je odeslán do DNS-over-TLS resolveru namísto nešifrovaného resolveru. Překladač DNS-over-TLS dešifruje váš dotaz DNS a odešle ho vaším jménem na autoritativní server DNS.
Výchozí port pro DoT je TCP port 853. Když se připojujete pomocí DoT, klient i resolver provedou digitální handshake. Poté klient odešle svůj dotaz DNS prostřednictvím šifrovaného kanálu TLS do resolveru.
DNS resolver zpracuje dotaz, najde odpovídající IP adresu a odešle odpověď zpět klientovi přes šifrovaný kanál. Šifrovaná odpověď je přijata klientem, kde je dešifrována a klient používá IP adresu k připojení k požadované webové stránce nebo službě.
3. DNS-over-HTTPS
HTTPS je zabezpečená verze HTTP, která se nyní používá pro přístup na webové stránky. Stejně jako DNS-over-TLS, DNS-over-HTTPS (DoH) také šifruje všechny informace před jejich odesláním přes síť.
I když je cíl stejný, existují některé zásadní rozdíly mezi DoH a DoT. Pro začátek, DoH odesílá všechny šifrované dotazy přes HTTPS namísto přímého vytváření TLS připojení pro šifrování vašeho provozu.
Za druhé, používá port 403 pro obecnou komunikaci, takže je obtížné odlišit od běžného webového provozu. DoT používá port 853, takže je mnohem snazší identifikovat provoz z tohoto portu a zablokovat jej.
DoH zaznamenalo širší přijetí ve webových prohlížečích, jako je Mozilla Firefox a Google Chrome, protože využívá stávající infrastrukturu HTTPS. DoT je častěji používán operačními systémy a vyhrazenými DNS resolvery, spíše než aby byl přímo integrován do webových prohlížečů.
Dva hlavní důvody, proč DoH zaznamenalo širší přijetí, je ten, že je mnohem snazší integrovat se do stávajícího webu prohlížečů, a co je důležitější, hladce splyne s běžným webovým provozem, takže je mnohem obtížnější blok.
4. DNS-over-QUIC
Ve srovnání s ostatními šifrovacími protokoly DNS na tomto seznamu je DNS-over-QUIC (DoQ) poměrně nový. Jedná se o nově vznikající bezpečnostní protokol, který odesílá dotazy a odpovědi DNS prostřednictvím přenosového protokolu QUIC (Quick UDP Internet Connections).
Většina internetového provozu dnes spoléhá na protokol TCP (Transmission Control Protocol) nebo User Datagram Protocol (UDP), přičemž dotazy DNS se obvykle odesílají přes UDP. Protokol QUIC byl zaveden, aby překonal několik nevýhod TCP/UDP a pomáhá snižovat latenci a zlepšovat zabezpečení.
QUIC je relativně nový přenosový protokol vyvinutý společností Google, navržený tak, aby poskytoval lepší výkon, zabezpečení a spolehlivost ve srovnání s tradičními protokoly, jako jsou TCP a TLS. QUIC kombinuje vlastnosti TCP a UDPa zároveň integruje vestavěné šifrování podobné TLS.
Protože je novější, DoQ nabízí několik výhod oproti protokolům uvedeným výše. Pro začátečníky nabízí DoQ rychlejší výkon, snižuje celkovou latenci a zkracuje dobu připojení. Výsledkem je rychlejší překlad DNS (doba, kterou DNS trvá, než přeloží IP adresu). V konečném důsledku to znamená, že se vám webové stránky zobrazují rychleji.
Ještě důležitější je, že DoQ je odolnější vůči ztrátě paketů ve srovnání s TCP a UDP, protože se dokáže zotavit ze ztracených paketů bez nutnosti úplného opětovného přenosu, na rozdíl od protokolů založených na TCP.
Navíc je mnohem snazší migrovat připojení také pomocí QUIC. QUIC zapouzdřuje více datových proudů v rámci jednoho připojení, snižuje počet okružních cest potřebných pro připojení, a tím zlepšuje výkon. To může být také užitečné při přepínání mezi Wi-Fi a mobilní sítí.
QUIC musí být ve srovnání s jinými protokoly ještě široce přijat. Společnosti jako Apple, Google a Meta však již QUIC používají a často vytvářejí svou vlastní verzi (Microsoft používá MsQUIC pro veškerý svůj provoz SMB), což je dobrým znamením pro budoucnost.
V budoucnu očekávejte další změny DNS
Očekává se, že nově vznikající technologie zásadně změní způsob, jakým přistupujeme na web. Mnoho společností nyní například využívá technologie blockchainu k vymýšlení bezpečnějších protokolů pro pojmenování domén, jako jsou HNS a Unstoppable Domains.