DNS over HTTPS

Standard szyfrowania zapytań DNS przez protokół HTTPS. Ukrywa, jakie domeny odwiedza użytkownik, i utrudnia podszywanie się pod odpowiedzi DNS.

DNS over HTTPS (DoH) to sposób na wysyłanie zapytań DNS wewnątrz szyfrowanego połączenia HTTPS, zamiast — jak w klasycznym DNS — gołym tekstem po porcie 53. Dzięki temu nikt po drodze (operator, administrator sieci, ktoś podsłuchujący Wi‑Fi w kawiarni) nie widzi, o adres jakiej domeny pytasz. Standard opisuje RFC 8484 z 2018 roku, a ruch leci po tym samym porcie 443, co zwykłe strony WWW.

Jak to działa

Tradycyjne zapytanie DNS to mały pakiet UDP wysłany w plaintext: każdy element sieci po drodze widzi, że pytasz o example.com. DoH pakuje to samo pytanie w żądanie HTTPS do specjalnego serwera (tzw. resolvera DoH) i odbiera odpowiedź w treści szyfrowanej sesji TLS. Z perspektywy obserwatora widać tylko, że gadasz z jakimś serwerem na porcie 443 — a że robi to dziś pół internetu, twoje zapytania DNS giną w tłumie.

Służy głównie do prywatności i utrudnienia cenzury oraz manipulacji odpowiedziami DNS (np. przekierowań na fałszywe strony). Uwaga jednak: DoH ukrywa treść zapytania, ale samo nawiązanie połączenia z docelowym serwerem (adres IP, a często nazwa hosta w polu SNI) nadal może zdradzić, gdzie idziesz. To poprawa prywatności, nie peleryna‑niewidka.

Przykład z praktyki

Najprościej zobaczysz to w przeglądarce: Firefox ma od lat opcję DNS over HTTPS (ustawienia sieci), domyślnie korzystając z resolvera Cloudflare 1.1.1.1. Chrome i Edge mają to pod nazwą „Use secure DNS”.

Z linii poleceń możesz odpytać resolver DoH wprost, bo to zwykły endpoint HTTP. Z curl i formatem JSON od Cloudflare:

curl -s 'https://cloudflare-dns.com/dns-query?name=example.com&type=A' -H 'accept: application/dns-json'

Dostaniesz odpowiedź w JSON z rekordami A — i wszystko to wewnątrz TLS.

Częste błędy i mity

  • „DoH = pełna anonimowość” — nie. Resolver, z którego korzystasz (np. Cloudflare czy Google), widzi twoje zapytania. Zmieniasz tylko to, komu ufasz.
  • Mylenie DoH z DoT — DNS over TLS (DoT, RFC 7858) robi podobną rzecz, ale na dedykowanym porcie 853. Łatwiej go zablokować i wykryć; DoH chowa się w ruchu HTTPS.
  • Łamanie firmowej sieci — DoH potrafi ominąć firmowy DNS, filtry rodzicielskie i monitoring. W zarządzanej sieci często włącza się to świadomie po stronie administratora, a nie po cichu na laptopie.
  • Diagnostyka — gdy DoH jest aktywne, klasyczne nslookup czy dig mogą pokazywać co innego niż przeglądarka, bo te narzędzia idą systemowym DNS, a przeglądarka swoim DoH.

Pojęcia powiązane

Warto znać przy okazji: DNS over TLS (DoT), klasyczny DNS i port 53, TLS oraz SNI (a także Encrypted Client Hello, czyli ECH), resolver i serwer rekursywny, oraz prywatność w sieci ogólnie.