Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
DNS tradisional menggunakan pesan UDP atau TCP yang tidak terenkripsi pada port 53, yang mengekspos lalu lintas DNS ke pemantauan pasif, analisis lalu lintas, dan manipulasi aktif oleh penyerang. Enkripsi DNS melindungi kueri DNS dan lalu lintas respons agar tidak diamati, dimodifikasi, atau dirusak saat transit melalui jaringan.
DNS melalui HTTPS (DoH) adalah mekanisme berbasis standar yang mengenkripsi lalu lintas DNS dengan merangkum pesan DNS dalam HTTPS, memberikan kerahasiaan dan integritas menggunakan Keamanan Lapisan Transportasi (TLS). Dengan mengenkripsi lalu lintas DNS, DoH membantu mencegah penyadapan, serangan man-in-the-middle, dan inspeksi kueri dan respons DNS yang tidak sah.
Cara kerja DNS melalui HTTPS
DNS melalui HTTPS tidak mengubah kueri DNS dasar dan model respons. Sebaliknya, ini mengubah cara pesan DNS diangkut di seluruh jaringan. Saat Anda mengaktifkan DoH di Server DNS, DoH menjadi opsi komunikasi terenkripsi tambahan, dan Server DNS terus menjawab kueri DNS tradisional kecuali Anda secara eksplisit menonaktifkan kemampuan tersebut.
Saat Anda mengaktifkan DoH:
Server DNS mendengarkan lalu lintas HTTPS.
Anda mengonfigurasi klien berkemampuan DoH (seperti klien Windows 11) untuk menggunakan kueri terenkripsi ke server DNS.
Klien DoH membuat koneksi TLS ke server DNS.
Klien mengirim kueri DNS di dalam permintaan HTTPS.
Server DNS memproses kueri seperti biasa.
Respons DNS dikembalikan di dalam respons HTTPS.
DNS melalui HTTPS untuk Server DNS (pratinjau)
Penting
DNS melalui HTTPS (DoH) untuk SERVER DNS di Windows Server saat ini dalam PRATINJAU. Informasi ini berkaitan dengan produk prarilis yang mungkin dimodifikasi secara substansial sebelum dirilis. Microsoft tidak memberikan jaminan, tersurat maupun tersirat, sehubungan dengan informasi yang diberikan di sini.
Dimulai dengan Pembaruan Keamanan 2026-02 (KB5075899) untuk Windows Server 2025, Anda dapat mengaktifkan DNS melalui HTTPS (DoH) pada layanan Server DNS untuk mengenkripsi lalu lintas DNS antara klien berkemampuan DoH dan server DNS Anda.
Contoh alur komunikasi DoH adalah seperti yang ditunjukkan dalam diagram berikut.
Saat mengonfigurasi DNS over HTTPS untuk Server DNS, pertimbangkan hal berikut selama tahap pratinjau:
Komunikasi DNS upstream (penerus, penerus kondisi, server otoritatif) tetap tidak terenkripsi.
Transfer zona DNS tetap tidak terenkripsi.
Pembaruan dinamis DNS tetap tidak terenkripsi secara default.
Anda tidak dapat membuat filter kueri DNS yang hanya cocok dengan kueri DoH.
Kebijakan dengan filter kueri Protokol Transportasi tidak cocok dengan kueri DoH. Misalnya, kebijakan dengan filter Protokol Transportasi disetel ke
EQ, TCPtidak sesuai dengan DoH.
Manfaat keamanan DNS melalui HTTPS
DNS melalui HTTPS memberikan manfaat keamanan dan privasi berikut:
Kerahasiaan. Kueri dan respons DNS dienkripsi, mencegah pemantauan pasif.
Integritas. TLS melindungi pesan DNS dari modifikasi selama transit.
Authentication. Klien DNS dapat memvalidasi identitas server DNS menggunakan validasi sertifikat HTTPS standar.
Ketahanan terhadap analisis lalu lintas. Lalu lintas DNS berpadu dengan lalu lintas HTTPS lainnya, mengurangi paparan pemfilteran atau manipulasi khusus DNS. Pendekatan ini meningkatkan privasi dan ketahanan terhadap intersepsi.
DNS melalui protokol dan standar HTTPS
IETF mendefinisikan DNS melalui HTTPS di RFC 8484 – Kueri DNS melalui HTTPS (DoH).
RFC 8484 menentukan cara mengirim dan menerima pesan DNS menggunakan HTTP melalui TLS. Standar DoH mendukung metode GET dan POST dan menentukan jenis media untuk pesan DNS. Pendekatan ini memungkinkan lalu lintas DNS mendapatkan manfaat dari fitur HTTPS modern seperti enkripsi, autentikasi, dan penggunaan kembali koneksi.
Selain itu, standar DoH memberikan kebebasan bagi implementasi server untuk mengonfigurasi URI dan port yang digunakan server untuk mendengarkan, memungkinkan penyebaran yang fleksibel di berbagai lingkungan jaringan.
Enkripsi DNS dan DNSSEC
Enkripsi DNS, seperti DoH, dan DNSSEC mengatasi model ancaman yang berbeda dan merupakan teknologi pelengkap. Enkripsi DNS melindungi lalu lintas DNS pada kawat, sementara DNSSEC memastikan bahwa data DNS diverifikasi secara kriptografis untuk integritas dan berasal dari sumber otoritatif.
Dengan menggunakan DoH bersama dengan DNSSEC, Anda mendapatkan pertahanan secara mendalam dengan menggabungkan transportasi terenkripsi dengan data DNS terautentikasi. Untuk informasi selengkapnya tentang DNSSEC, lihat Apa itu DNSSEC?