기존 DNS는 포트 53에서 암호화되지 않은 UDP 또는 TCP 메시지를 사용하여 DNS 트래픽을 수동 모니터링, 트래픽 분석 및 공격자의 활성 조작에 노출합니다. DNS 암호화는 네트워크를 통해 전송하는 동안 DNS 쿼리 및 응답 트래픽이 관찰, 수정 또는 변조되지 않도록 보호합니다.
DoH(HTTPS)를 통한 DNS는 HTTPS 내에서 DNS 메시지를 캡슐화하여 DNS 트래픽을 암호화하고 TLS(전송 계층 보안)를 사용하여 기밀성과 무결성을 제공하는 표준 기반 메커니즘입니다. DoH는 DNS 트래픽을 암호화하여 도청, 중간 공격 및 DNS 쿼리 및 응답에 대한 무단 검사를 방지합니다.
HTTPS를 통한 DNS 작동 방식
HTTPS를 통한 DNS는 기본 DNS 쿼리 및 응답 모델을 변경하지 않습니다. 대신 DNS 메시지가 네트워크를 통해 전송되는 방식을 변경합니다. DNS 서버에서 DoH를 사용하도록 설정하면 DoH는 암호화된 추가 통신 옵션이 되고 DNS 서버는 해당 기능을 명시적으로 사용하지 않도록 설정하지 않는 한 기존 DNS 쿼리에 계속 응답합니다.
DoH를 사용하도록 설정하는 경우:
DNS 서버는 HTTPS 트래픽을 수신 대기합니다.
DNS 서버에 암호화된 쿼리 를 사용하도록 DoH 지원 클라이언트(예: Windows 11 클라이언트) 를 구성합니다.
DoH 클라이언트는 DNS 서버에 대한 TLS 연결을 설정합니다.
클라이언트는 HTTPS 요청 내에서 DNS 쿼리를 보냅니다.
DNS 서버는 평소와 같이 쿼리를 처리합니다.
DNS 응답은 HTTPS 응답 내에서 반환됩니다.
DNS 서버용 HTTPS를 통한 DNS(미리 보기)
중요합니다
Windows Server의 DNS 서버에 대한 DNS over HTTPS(DoH)는 현재 미리 보기로 제공됩니다. 이 정보는 릴리스되기 전에 상당히 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시적이거나 묵시적인 보증을 하지 않습니다.
Windows Server 2025용 2026-02 보안 업데이트(KB5075899)부터 DNS 서버 서비스에서 DOS(DNS over HTTPS)를 사용하도록 설정하여 DoH 지원 클라이언트와 DNS 서버 간의 DNS 트래픽을 암호화할 수 있습니다.
DoH 통신 흐름의 예는 다음 다이어그램과 같습니다.
DNS 서버에 대한 HTTPS를 통해 DNS를 구성할 때 미리 보기 중에 다음을 고려합니다.
업스트림 DNS 통신(전달자, 조건부 전달자, 신뢰할 수 있는 서버)은 암호화되지 않은 상태로 유지됩니다.
DNS 영역 전송은 암호화되지 않은 상태로 유지됩니다.
DNS 동적 업데이트는 기본적으로 암호화되지 않은 상태로 유지됩니다.
DoH 쿼리와만 일치하는 DNS 쿼리 필터는 만들 수 없습니다.
전송 프로토콜 쿼리 필터가 있는 정책은 DoH 쿼리와 일치하지 않습니다. 예를 들어 전송 프로토콜 필터가 설정된
EQ, TCP정책이 DoH와 일치하지 않습니다.
HTTPS를 통한 DNS의 보안 이점
HTTPS를 통한 DNS는 다음과 같은 보안 및 개인 정보 보호 혜택을 제공합니다.
기밀 유지. DNS 쿼리 및 응답은 암호화되어 수동 모니터링을 방지합니다.
무결성. TLS는 전송 중에 DNS 메시지를 수정하지 않도록 보호합니다.
인증. DNS 클라이언트는 표준 HTTPS 인증서 유효성 검사를 사용하여 DNS 서버의 ID의 유효성을 검사할 수 있습니다.
트래픽 분석에 대한 저항. DNS 트래픽은 다른 HTTPS 트래픽과 혼합하여 DNS별 필터링 또는 조작에 대한 노출을 줄입니다. 이 접근 방식은 개인 정보 보호 및 가로채기에 대한 저항을 향상시킵니다.
HTTPS 프로토콜 및 표준을 통한 DNS
IETF는 RFC 8484 – DOH(HTTPS)를 통한 DNS 쿼리에서 HTTPS를 통한 DNS를 정의합니다.
RFC 8484는 TLS를 통해 HTTP를 사용하여 DNS 메시지를 보내고 받는 방법을 지정합니다. DoH 표준은 GET 및 POST 메서드를 모두 지원하고 DNS 메시지에 대한 미디어 형식을 정의합니다. 이 방법을 사용하면 DNS 트래픽이 암호화, 인증 및 연결 재사용과 같은 최신 HTTPS 기능을 활용할 수 있습니다.
또한 DoH 표준을 사용하면 서버 구현에서 서버의 수신 대기 URI 및 포트를 자유롭게 구성할 수 있으므로 다양한 네트워크 환경에서 유연한 배포가 가능합니다.
DNS 암호화 및 DNSSEC
DoH 및 DNSSEC와 같은 DNS 암호화는 다양한 위협 모델을 해결하며 보완적인 기술입니다. DNS 암호화는 유선에서 DNS 트래픽을 보호하는 반면 DNSSEC는 DNS 데이터가 무결성에 대해 암호화적으로 확인되고 신뢰할 수 있는 원본에서 제공되도록 합니다.
DNSSEC와 함께 DoH를 사용하면 암호화된 전송을 인증된 DNS 데이터와 결합하여 심층 방어할 수 있습니다. DNSSEC에 대한 자세한 내용은 DNSSEC란?