עודכן לפני חודשיים
שאילתות DNS חושפות כל אתר שאתה מבקר, כל אפליקציה שמתקשרת הביתה, כל סקרנות שעקבת אחריה. ומאז שנות ה-80, הן עוברות ברחבי האינטרנט בטקסט פתוח לגמרי.
זה לא היה פגם בתכנון — זה היה הנחת יסוד. DNS נבנה כשהאינטרנט היה רשת קטנה של אוניברסיטאות ומוסדות מחקר. אמון היה מובן מאליו. הצפנה הייתה יקרה. הרעיון שמישהו ינסה לאסוף שאילתות DNS כדי לבנות פרופילים פרסומיים או לצנזר תוכן לא היה על המכ"ם של אף אחד.
DNS מסורתי שולח שאילתות דרך UDP פורט 53, ללא כל הצפנה. ספק האינטרנט שלך רואה אותן. מנהל הרשת שלך רואה אותן. כל מי שמנטר את תעבורת הרשת רואה אותן. אפשר לרשום, לנתח, למכור, להשתמש לצנזורה — או ליירט ולשנות אותן.
DNS over HTTPS (DoH) עוטף שאילתות DNS באותה הצפנה שמגנה על עסקאות הבנקאות שלך. השאילתות שלך עוברות בתוך חיבורי HTTPS על פורט 443 — לא ניתן להבדיל אותן מגלישה רגילה באינטרנט.
כיצד DoH עובד
עם DNS מסורתי, המכשיר שלך שולח שאילתה לא מוצפנת לרזולבר (בדרך כלל של ספק האינטרנט שלך), שמחזיר כתובת IP. גם השאלה וגם התשובה עוברות בטקסט פתוח.
עם DoH, המכשיר שלך מבסס חיבור HTTPS מוצפן לרזולבר התומך ב-DoH. שאילתות DNS הופכות לבקשות HTTPS, מוצפנות לפני שהן עוזבות את המכשיר שלך ומפוענחות רק על ידי הרזולבר שבחרת. מי שמנטר את הרשת יכול לראות שאתה מתחבר לרזולבר DoH, אבל תוכן השאילתות שלך נשאר נסתר.
הפרוטוקול תוקנן כ-RFC 8484 באוקטובר 2018. הוא משתמש ב-TLS — אותה הצפנה שמגנה על כל אתר מאובטח — ותומך בשימוש חוזר בחיבורים, מה שמאפשר שאילתות מרובות דרך סשן מוצפן יחיד.
מה DoH באמת מגן עליו
DoH מונע מעקב פסיבי אחר שאילתות ה-DNS שלך. ספק האינטרנט שלך כבר לא יכול לבנות פרופיל של כל אתר שאתה מבקר על בסיס DNS בלבד.
הוא גם חוסם שיבוש DNS. התקפות man-in-the-middle שמיירטות ומשנות תשובות DNS נכשלות כיוון שהתעבורה מוצפנת. זיוף DNS — הזרקת תשובות מזויפות כדי להפנות אותך לאתרים זדוניים — נכשל כיוון ש-DoH מאמת תשובות באמצעות תעודות TLS.
השאלה המרכזית: במי אתה סומך?
DoH לא מבטל מעקב — הוא מאפשר לך לבחור מי יעקוב אחריך.
כשדפדפנים מיישמים DoH, הם בדרך כלל ברירת מחדל לספק מסוים. Firefox משתמש ב-Cloudflare. Chrome משדרג ל-DoH אם ספק ה-DNS הנוכחי שלך תומך בו. שאילתות ה-DNS שלך, שהיו גלויות בעבר לספק האינטרנט שלך, זורמות כעת לחברה אחרת.
ספק האינטרנט שלך כבר לא יכול לראות את השאילתות שלך. אבל ספק ה-DoH רואה את כולן — ואתה סומך על מדיניות הפרטיות שלהם, על נהלי האבטחה שלהם, ועל עמידותם מול דרישות ממשלתיות. לא ביטלת את דרישת האמון. הזזת אותה.
זה גם מרכז חלק בסיסי מתשתית האינטרנט בידי חופן חברות גדולות. האם זה טוב יותר או גרוע יותר מאלפי ספקי אינטרנט — זה תלוי במודל האיום שלך ובעמדותיך הפוליטיות.
DoH לעומת DNS over TLS
גם DoH וגם DNS over TLS (DoT) מצפינים שאילתות DNS. ההבדל הוא בנראות.
DoT משתמש ב-TCP פורט 853 — פורט ייעודי ל-DNS מוצפן. מנהלי רשת יכולים לזהות, לנטר או לחסום בקלות תעבורת DoT. כולם רואים שמתרחש DNS מוצפן, גם אם לא רואים את התוכן.
DoH משתמש בפורט 443, מתמזג עם כל שאר תעבורת HTTPS. מנהלי רשת לא יכולים להבחין בין DoH לגלישה רגילה ללא בדיקת פקטות מעמיקה. זה עושה את DoH קשה יותר לחסימה — אבל גם קשה יותר לניהול.
הבחירה משקפת סדרי עדיפויות: DoT לרשתות שרוצות DNS מוצפן תוך שמירה על נראות. DoH למשתמשים שרוצים שאילתות ה-DNS שלהם יתמוססו בתוך רעש תעבורת הרשת.
מדוע DoH שנוי במחלוקת
DoH עורר מחלוקת אמיתית מפני שהוא מעביר שליטה על DNS מהרשתות לדפדפנים.
ארגונים רבים משתמשים בסינון DNS לאבטחה — חסימת דומיינים זדוניים, מניעת פישינג, אכיפת מדיניות. תוכנות בקרת הורים פועלות בדרך כלל באמצעות סינון DNS. כשדפדפנים עוקפים את ה-DNS של המערכת עם DoH, ההגנות הללו מפסיקות לעבוד.
האופן שבו הדבר מיושם חשוב לא פחות. גישתו של Firefox — הפעלת DoH כברירת מחדל, עקיפת הגדרות המערכת — יצרה את החיכוך הגדול ביותר. גישתו של Chrome — שדרוג ל-DoH רק אם הספק הקיים שלך תומך בו — שומרת על תצורות קיימות.
מדינות מסוימות רואות ב-DoH עקיפה של הגבלות תוכן חוקיות. ספקי אינטרנט טוענים שהוא פוגע ביכולתם לפתור בעיות ולחסום תוכנות זדוניות ברמת הרשת.
השאלה הבסיסית: מי שולט ב-DNS? מפעיל הרשת? יצרן הדפדפן? ספק ה-DoH? המשתמש? DoH מעביר את השליטה הזו — ולא כולם מסכימים היכן היא צריכה להיות.
תמיכה נוכחית
Firefox הפעיל DoH כברירת מחדל בארה"ב ב-2020, באמצעות Cloudflare. משתמשים יכולים להחליף ספקים או להשבית אותו. Firefox בודק מדיניות ארגונית ומשבית DoH ברשתות מנוהלות.
Chrome משדרג ל-DoH אוטומטית אם ספק ה-DNS הקיים שלך תומך בו — התצורה שלך נשארת זהה, אבל מקבלת הצפנה. הוא מכבד מדיניות ארגונית.
Safari (iOS 14 ומעלה, macOS 11 ומעלה) תומך ב-DoH אבל לא מפעיל אותו כברירת מחדל. אפליקציות יכולות לבקש DNS מוצפן, ומנהלים יכולים להגדיר אותו דרך ניהול מכשירים.
Windows 11 תומך בתצורת DoH ברמת המערכת, מה שמאפשר להצפין DNS עבור כל האפליקציות — לא רק דפדפנים.
Android 9 ומעלה תומך ב-DNS over TLS (לא DoH) דרך הגדרת ה-DNS הפרטי — הגנה דומה, פרוטוקול שונה.
Linux — התמיכה משתנה לפי הרזולבר. systemd-resolved תומך גם ב-DoH וגם ב-DoT.
נקודות מפתח
DNS שידר את הרגלי הגלישה שלך בטקסט פתוח מאז שנות ה-80 — הנחת יסוד מהתקופה שבה האינטרנט היה רשת אקדמית מהימנה.
DoH מצפין שאילתות DNS באמצעות אותו HTTPS שמגן על תעבורת הרשת. ספק האינטרנט שלך ומי שמנטר את הרשת כבר לא יכולים לראות אילו דומיינים אתה מחפש.
אבל DoH מעביר אמון — לא מבטל אותו. השאילתות שלך עוברות מספק האינטרנט שלך לספק ה-DoH שלך. בחר את הספק הזה בכוונה.
DoH מתמזג עם תעבורת הרשת בפורט 443, מה שמקשה על גילויו. DoT משתמש בפורט ייעודי 853, מה שהופך אותו לנראה — אבל ניתן לניהול. הבחירה תלויה בשאלה האם אתה מעדיף הסתרה או שקיפות.
המחלוקת אמיתית: DoH יכול לעקוף מסנני אבטחה, בקרת הורים ומדיניות ארגונית. המתח בין פרטיות המשתמש לניהול הרשת משקף מחלוקת אמיתית על מי צריך לשלוט ב-DNS.
שאלות נפוצות על DNS over HTTPS
האם DoH הופך אותי לאנונימי ברשת?
לא. DoH מצפין את שאילתות ה-DNS שלך, אבל אתרים עדיין רואים את כתובת ה-IP שלך כשאתה מתחבר. ספק האינטרנט שלך עדיין יכול לראות לאילו כתובות IP אתה מתחבר — הוא פשוט לא יכול לראות את שמות הדומיין שחיפשת. לאנונימיות, אתה זקוק לכלים נוספים כמו VPN או Tor.
האם המעסיק או בית הספר שלי יכולים לחסום DoH?
כן, אם כי זה קשה יותר מחסימת DNS מסורתי. ארגונים יכולים לחסום חיבורים לספקי DoH ידועים, להשתמש בבדיקת פקטות מעמיקה, או לפרוס מדיניות ארגונית שמשביתה DoH בדפדפנים. רוב הדפדפנים מכבדים תצורות ארגוניות.
האם כדאי לי להפעיל DoH?
עבור רוב המשתמשים הביתיים — כן. הוא מוסיף פרטיות עם חיסרון מינימלי. אם אתה ברשת שמשתמשת בסינון DNS לאבטחה או לבקרת הורים, DoH עשוי לעקוף את ההגנות הללו. משתמשים ארגוניים צריכים לפעול לפי מדיניות הארגון שלהם.
מדוע חשובה הבחירה של ספק DoH אם השאילתות מוצפנות?
כיוון שהספק מפענח ומעבד את השאילתות שלך. הוא רואה את כל מה שאתה מחפש — ההצפנה מגנה על השאילתות רק בדרך. בחר ספק שאתה סומך על מדיניות הפרטיות שלו, או הפעל רזולבר משלך.
האם DoH איטי יותר מ-DNS רגיל?
לחיבור הראשוני יש מעט יותר עומס בגלל לחיצת יד TLS, אבל שימוש חוזר בחיבורים לרוב מאיץ שאילתות עוקבות. רוב המשתמשים לא ישימו לב להבדל.
האם דף זה היה מועיל?