Šifrování DNS pomocí DNS přes HTTPS

Tradiční DNS používá nešifrované zprávy UDP nebo TCP na portu 53, které zpřístupňuje provoz DNS pasivnímu monitorování, analýze provozu a aktivní manipulaci útočníky. Šifrování DNS chrání provoz dotazů a odpovědí DNS před sledováním, úpravou nebo manipulací při přenosu přes síť.

DNS přes HTTPS (DoH) je mechanismus založený na standardech, který šifruje provoz DNS zapouzdřením zpráv DNS v rámci protokolu HTTPS a poskytuje důvěrnost a integritu pomocí protokolu TLS (Transport Layer Security). Šifrováním provozu DNS pomáhá DoH zabránit odposlouchávání, útokům man-in-the-middle a neoprávněné kontrole dotazů a odpovědí DNS.

Jak funguje DNS přes HTTPS

DNS přes HTTPS nemění základní model dotazů a odpovědí DNS. Místo toho změní způsob přenosu zpráv DNS přes síť. Když povolíte DoH na serveru DNS, stane se DoH další zašifrovanou komunikační možností a server DNS bude nadále odpovídat na tradiční dotazy DNS, pokud tuto funkci explicitně nezakážete.

Když povolíte DoH:

  • Server DNS naslouchá provozu HTTPS.

  • Klienta podporujícího DoH (například klienta s Windows 11) nakonfigurujete tak, aby používal šifrované dotazy na server DNS.

  • Klient DoH vytvoří připojení TLS k serveru DNS.

  • Klient odesílá dotazy DNS v požadavku HTTPS.

  • Server DNS zpracovává dotaz obvyklým způsobem.

  • Odpověď DNS se vrátí uvnitř odpovědi HTTPS.

DNS přes HTTPS pro server DNS

Počínaje aktualizací zabezpečení 2026-06 (KB5094125) pro Windows Server 2025 můžete povolit DNS přes HTTPS (DoH) ve službě SERVERU DNS k šifrování provozu DNS mezi klienty podporujícími DoH a vaším serverem DNS.

Příklad toku komunikace DoH je znázorněný v následujícím diagramu.

Diagram znázorňující tok komunikace PŘES PROTOKOL HTTPS mezi klientem a serverem

Při konfiguraci DNS přes HTTPS pro server DNS zvažte následující body:

  • Nadřazená komunikace DNS (předávací servery, podmíněné předávání, autoritativní servery) zůstává nešifrovaná.

  • Přenosy zón DNS zůstávají nezašifrované.

  • Dynamické aktualizace DNS zůstávají ve výchozím nastavení nešifrované.

  • Nemůžete vytvořit filtr dotazů DNS, který odpovídá pouze dotazům DoH.

  • Zásady s filtrem dotazu přenosového protokolu neodpovídají dotazům DoH. Například zásada s filtrem transportního protokolu nastaveným na EQ, TCP neodpovídá DoH.

Výhody zabezpečení DNS přes HTTPS

DNS přes HTTPS poskytuje následující výhody zabezpečení a ochrany osobních údajů:

  • Důvěrnost. Dotazy a odpovědi DNS jsou šifrované a brání pasivnímu monitorování.

  • Integrita Tls chrání zprávy DNS před úpravami během přenosu.

  • Authentication. Klienti DNS můžou ověřit identitu serveru DNS pomocí standardního ověření certifikátu HTTPS.

  • Odolnost vůči analýze provozu. Provoz DNS se kombinuje s jiným provozem HTTPS, což snižuje riziko filtrování nebo manipulace specifické pro DNS. Tento přístup zlepšuje ochranu osobních údajů a odolnost proti zachycení.

DNS přes protokoly a standardy HTTPS

IETF definuje DNS přes HTTPS v RFC 8484 – dotazy DNS přes HTTPS (DoH).

RFC 8484 určuje, jak odesílat a přijímat zprávy DNS pomocí protokolu HTTP přes protokol TLS. Standard DoH podporuje metody GET i POST a definuje typy médií pro zprávy DNS. Tento přístup umožňuje, aby provoz DNS využíval moderní funkce HTTPS, jako je šifrování, ověřování a opakované použití připojení.

Standard DoH navíc umožňuje implementacím serveru nakonfigurovat identifikátor URI a port naslouchání serveru, což umožňuje flexibilní nasazení v různých síťových prostředích.

Šifrování DNS a DNSSEC

Šifrování DNS, jako je DoH a DNSSEC, řeší různé modely hrozeb a jsou doplňkové technologie. Šifrování DNS chrání přenosy DNS na drátu, zatímco SLUŽBA DNSSEC zajišťuje kryptograficky ověřená data DNS pro integritu a pocházejí z autoritativního zdroje.

Pomocí doH společně s DNSSEC získáte hloubkovou ochranu kombinováním šifrovaného přenosu s ověřenými daty DNS. Další informace o službě DNSSEC najdete v tématu Co je DNSSEC?

Další kroky

Povolení DNS přes HTTPS na Windows DNS Serveru

  • Last updated on