Czym jest DNS i dlaczego wymaga ochrony?

Zanim zrozumiemy, czym jest DNS over HTTPS, warto przypomnieć sobie, jak działa tradycyjny system DNS (Domain Name System). Mówiąc najprościej, DNS to swego rodzaju książka telefoniczna internetu. Gdy wpisujesz w przeglądarce adres techbyte.pl, Twój komputer musi najpierw zapytać serwer DNS o adres IP odpowiadający tej nazwie domenowej. Dopiero po otrzymaniu odpowiedzi nawiązuje połączenie z właściwym serwerem.

Problem polega na tym, że tradycyjne zapytania DNS są przesyłane w formie niezaszyfrowanego tekstu, zazwyczaj przez port 53 protokołu UDP lub TCP. Oznacza to, że każdy, kto ma dostęp do Twojego ruchu sieciowego – dostawca internetu, administrator sieci firmowej, a nawet złośliwy podmiot w tej samej sieci Wi-Fi – może bez trudu odczytać, jakie strony odwiedzasz. Co więcej, może te odpowiedzi modyfikować, przekierowując Cię na fałszywe witryny.

To poważna luka w prywatności, która przez dekady była ignorowana lub traktowana jako nieistotna. Dopiero w ostatnich latach społeczność internetowa zaczęła aktywnie szukać rozwiązań tego problemu.

DNS over HTTPS – na czym polega zmiana?

DNS over HTTPS, w skrócie DoH, to protokół opisany w dokumencie RFC 8484, opublikowanym przez IETF w 2018 roku. Jego zasada działania jest stosunkowo prosta: zamiast wysyłać zapytania DNS jako zwykły tekst przez dedykowany port, DoH przesyła je jako zaszyfrowane żądania HTTPS na port 443 – ten sam, który jest używany przez standardowy ruch webowy.

Dzięki temu zapytania DNS są:

  • Zaszyfrowane – nikt poza Tobą i serwerem DNS nie może odczytać ich treści.
  • Uwierzytelnione – certyfikat TLS gwarantuje, że rozmawiasz z właściwym serwerem, a nie z jego podróbką.
  • Nieodróżnialne od zwykłego ruchu HTTPS – co utrudnia ich blokowanie lub filtrowanie.

Warto zaznaczyć, że DoH nie jest jedyną odpowiedzią na problem niezaszyfrowanego DNS. Istnieje też DNS over TLS (DoT), który szyfruje zapytania DNS przy użyciu protokołu TLS, ale przesyła je przez dedykowany port 853. Oba rozwiązania mają swoje zalety i wady – DoT jest łatwiejszy do monitorowania przez administratorów sieci (co bywa zaletą w środowiskach korporacyjnych), natomiast DoH jest trudniejszy do zablokowania i bardziej przyjazny dla użytkowników końcowych.

Jakie korzyści daje DNS over HTTPS?

1. Ochrona prywatności

To najważniejsza zaleta DoH. Twój dostawca internetu nie może już prowadzić szczegółowego rejestru odwiedzanych przez Ciebie stron na podstawie zapytań DNS. W Polsce i Unii Europejskiej operatorzy telekomunikacyjni są zobowiązani do przechowywania danych o połączeniach przez określony czas – DoH sprawia, że te dane są znacznie mniej kompletne.

2. Ochrona przed atakami DNS spoofing i DNS hijacking

Ataki polegające na podmianie odpowiedzi DNS to realne zagrożenie. DNS spoofing polega na wstrzyknięciu fałszywych danych do pamięci podręcznej serwera DNS, natomiast DNS hijacking oznacza przejęcie kontroli nad serwerem DNS lub przekierowanie zapytań do złośliwego serwera. Szyfrowanie i uwierzytelnianie w DoH skutecznie eliminuje te wektory ataków.

3. Obejście cenzury i blokad DNS

Wiele krajów stosuje blokady DNS jako narzędzie cenzury internetowej. Ponieważ ruch DoH jest nieodróżnialny od standardowego ruchu HTTPS, jego blokowanie jest znacznie trudniejsze. Użytkownicy w krajach z ograniczonym dostępem do internetu mogą dzięki DoH korzystać z pełniejszego dostępu do zasobów sieci.

4. Ochrona w publicznych sieciach Wi-Fi

Publiczne sieci Wi-Fi w kawiarniach, hotelach czy na lotniskach są szczególnie podatne na ataki man-in-the-middle. Ktoś, kto kontroluje taki punkt dostępowy, może przekierowywać Twoje zapytania DNS, by podglądać Twoją aktywność lub serwować fałszywe strony. DoH eliminuje to zagrożenie.

Kontrowersje wokół DNS over HTTPS

Mimo licznych zalet, DoH budzi też pewne kontrowersje, szczególnie w środowiskach korporacyjnych i wśród administratorów sieci.

Centralizacja ruchu DNS – jeśli miliony użytkowników korzystają z tych samych dostawców DoH (jak Cloudflare czy Google), tworzy to nową formę centralizacji. Duże korporacje zyskują wgląd w ogromne ilości danych o nawykach przeglądania internetu przez użytkowników.

Utrudnienie zarządzania siecią – administratorzy sieci korporacyjnych często filtrują ruch DNS, by egzekwować polityki bezpieczeństwa, blokować złośliwe domeny czy ograniczać dostęp do określonych kategorii treści. DoH utrudnia lub uniemożliwia te działania, gdy użytkownicy korzystają z zewnętrznych resolverów DoH.

Problemy z rodzicielską kontrolą – wiele routerów domowych oferuje funkcje filtrowania treści na poziomie DNS. Jeśli urządzenie dziecka używa DoH z zewnętrznym resolverem, te filtry przestają działać.

Warto pamiętać, że DoH chroni przed inwigilacją ze strony dostawcy internetu czy lokalnej sieci, ale nie zapewnia pełnej anonimowości. Adres IP strony nadal jest widoczny w nagłówkach połączeń HTTPS (przynajmniej do momentu powszechnego wdrożenia ECH – Encrypted Client Hello).

Jak włączyć DNS over HTTPS w popularnych przeglądarkach?

Mozilla Firefox

Firefox był jedną z pierwszych przeglądarek, która wdrożyła DoH na szeroką skalę. Aby włączyć tę funkcję:

  1. Otwórz Ustawienia i przejdź do sekcji Prywatność i bezpieczeństwo.
  2. Przewiń na dół do sekcji DNS over HTTPS.
  3. Wybierz tryb: Maksymalna ochrona (DoH zawsze, bez fallbacku), Zwiększona ochrona (DoH z fallbackiem) lub Wyłączony.
  4. Wybierz dostawcę lub wprowadź własny adres URL resolvera DoH.

Google Chrome i Edge

W Chrome i opartym na nim Edge proces jest podobny:

  1. Wejdź do Ustawień, a następnie Prywatność i bezpieczeństwoBezpieczeństwo.
  2. Znajdź opcję Używaj bezpiecznego DNS.
  3. Wybierz dostawcę z listy lub podaj własny adres serwera DoH.

Safari

Apple dodało obsługę DoH i DoT w systemach iOS 14 i macOS 11 Big Sur. Konfiguracja odbywa się jednak przez zainstalowanie odpowiedniego profilu konfiguracyjnego lub aplikacji obsługującej rozszerzenia Network Extension – nie ma tu prostego przełącznika w ustawieniach przeglądarki.

Konfiguracja DoH na poziomie systemu operacyjnego

Windows 11

Windows 11 oferuje natywną obsługę DNS over HTTPS:

  1. Przejdź do UstawieniaSieć i internet.
  2. Kliknij na swoją aktywną kartę sieciową (Wi-Fi lub Ethernet).
  3. Przewiń do sekcji Ustawienia DNS i kliknij Edytuj.
  4. Zmień typ DNS na Ręcznie, wprowadź adresy serwerów DNS obsługujących DoH (np. 1.1.1.1 Cloudflare lub 8.8.8.8 Google) i ustaw szyfrowanie DNS na Tylko HTTPS (DoH).

Linux

Na Linuksie DoH można skonfigurować przy użyciu narzędzi takich jak systemd-resolved (z obsługą DoT) lub dedykowanych programów jak dnscrypt-proxy czy cloudflared. Konfiguracja jest bardziej techniczna, ale daje też większą elastyczność – możesz np. uruchomić lokalny resolver DoH, który obsługuje całą sieć domową.

Popularne serwery DNS obsługujące DoH

Wybór odpowiedniego serwera DoH ma znaczenie dla prywatności. Oto kilka godnych uwagi opcji:

  • Cloudflare (1.1.1.1)https://cloudflare-dns.com/dns-query – deklaruje brak logowania adresów IP zapytań i regularnie poddaje się niezależnym audytom.
  • Google Public DNS (8.8.8.8)https://dns.google/dns-query – szybki i niezawodny, ale Google zbiera pewne dane diagnostyczne.
  • Quad9 (9.9.9.9)https://dns.quad9.net/dns-query – prowadzony przez organizację non-profit, blokuje znane złośliwe domeny, silna polityka prywatności.
  • NextDNShttps://dns.nextdns.io – płatna (z darmowym limitem) usługa z rozbudowanymi opcjami filtrowania i raportowania.
  • AdGuard DNShttps://dns.adguard.com/dns-query – oferuje wbudowane blokowanie reklam i trackerów na poziomie DNS.

Czy DoH to wystarczająca ochrona prywatności?

DNS over HTTPS to ważny krok w kierunku prywatniejszego internetu, ale nie jest rozwiązaniem magicznym. Należy pamiętać, że:

  • Twój adres IP pozostaje widoczny dla stron, które odwiedzasz.
  • Metadane połączeń (kiedy, z jakim adresem IP nawiązujesz połączenie) są nadal dostępne dla dostawcy internetu.
  • Przenoszysz zaufanie z dostawcy internetu na dostawcę usługi DoH – wybieraj go starannie.
  • Dla pełniejszej anonimowości warto rozważyć połączenie DoH z siecią Tor lub usługą VPN od zaufanego dostawcy.

Mimo tych ograniczeń, włączenie DNS over HTTPS to jedna z najprostszych i najskuteczniejszych rzeczy, które możesz zrobić, by poprawić swoją prywatność online. Przy minimalnym nakładzie pracy eliminujesz jeden z najbardziej podstawowych wektorów inwigilacji sieciowej.

Podsumowanie

DNS over HTTPS to technologia dojrzała, dostępna w każdej nowoczesnej przeglądarce i w najnowszych wersjach popularnych systemów operacyjnych. Jej włączenie zajmuje dosłownie kilka minut i nie wymaga żadnych zaawansowanych umiejętności technicznych. W zamian zyskujesz szyfrowanie zapytań DNS, ochronę przed manipulacją odpowiedziami oraz utrudnienie śledzenia Twojej aktywności sieciowej przez osoby trzecie.

W czasach, gdy prywatność w internecie staje się dobrem coraz trudniej dostępnym, każda dodatkowa warstwa ochrony ma znaczenie. DoH nie rozwiąże wszystkich problemów z prywatnością, ale zdecydowanie warto mieć ją włączoną – zarówno na komputerze, jak i na urządzeniach mobilnych.