- DoH mengenkripsi permintaan DNS menggunakan HTTPS (port 443), meningkatkan privasi dan mencegah gangguan.
- Dapat diaktifkan di browser dan sistem (termasuk Windows Server 2022) tanpa bergantung pada router.
- Kinerja serupa dengan DNS klasik; dilengkapi oleh DNSSEC untuk memvalidasi respons.
- Server DoH populer (Cloudflare, Google, Quad9) dan kemampuan untuk menambahkan atau mengatur resolver Anda sendiri.
¿Bagaimana cara mengenkripsi DNS Anda tanpa menyentuh router Anda menggunakan DNS melalui HTTPS? Jika Anda khawatir tentang siapa yang dapat melihat situs web apa yang Anda hubungkan, Enkripsi kueri Sistem Nama Domain dengan DNS melalui HTTPS Ini salah satu cara termudah untuk meningkatkan privasi Anda tanpa harus berurusan dengan router. Dengan DoH, penerjemah yang mengonversi domain ke alamat IP berhenti berjalan tanpa diketahui dan melewati terowongan HTTPS.
Dalam panduan ini Anda akan menemukan, dalam bahasa langsung dan tanpa terlalu banyak jargon, Apa sebenarnya DoH, apa bedanya dengan opsi lain seperti DoT, cara mengaktifkannya di peramban dan sistem operasi (termasuk Windows Server 2022), cara memverifikasi bahwa fitur ini benar-benar berfungsi, server yang didukung, dan, jika Anda berani, bahkan cara menyiapkan resolver DoH Anda sendiri. Semuanya, tanpa menyentuh router…kecuali untuk bagian opsional bagi mereka yang ingin mengonfigurasinya di MikroTik.
Apa itu DNS over HTTPS (DoH) dan mengapa Anda mungkin peduli
Saat Anda mengetikkan suatu domain (misalnya, Xataka.com) komputer akan menanyakan kepada resolver DNS berapa IP-nya; Proses ini biasanya dalam teks biasa Dan siapa pun di jaringan Anda, penyedia internet Anda, atau perangkat perantara dapat mengintip atau memanipulasinya. Inilah inti dari DNS klasik: cepat, ada di mana-mana... dan transparan bagi pihak ketiga.
Di sinilah DoH berperan: Ini memindahkan pertanyaan dan jawaban DNS tersebut ke saluran terenkripsi yang sama yang digunakan oleh web aman (HTTPS, port 443)Hasilnya adalah mereka tidak lagi melakukan perjalanan "di tempat terbuka", sehingga mengurangi kemungkinan spionase, pembajakan kueri, dan serangan man-in-the-middle tertentu. Lebih lanjut, dalam banyak pengujian latensi tidak memburuk secara signifikan dan bahkan dapat ditingkatkan berkat optimalisasi transportasi.
Keunggulan utamanya adalah bahwa DoH dapat diaktifkan di tingkat aplikasi atau sistem, jadi Anda tidak perlu bergantung pada operator atau router untuk mengaktifkan apa pun. Artinya, Anda dapat melindungi diri "dari peramban" tanpa menyentuh peralatan jaringan apa pun.
Penting untuk membedakan DoH dari DoT (DNS melalui TLS): DoT mengenkripsi DNS pada port 853 langsung melalui TLS, sementara DoH mengintegrasikannya ke dalam HTTP(S). DoT lebih sederhana secara teori, tetapi Kemungkinan besar diblokir oleh firewall yang memotong port yang tidak umum; DoH, dengan menggunakan 443, lebih baik menghindari pembatasan ini dan mencegah serangan “pushback” paksa ke DNS yang tidak terenkripsi.
Mengenai privasi: Penggunaan HTTPS tidak menyiratkan adanya cookie atau pelacakan di DoH; Standar-standar tersebut secara tegas menyarankan agar tidak menggunakannya Dalam konteks ini, TLS 1.3 juga mengurangi kebutuhan untuk memulai ulang sesi, sehingga meminimalkan korelasi. Dan jika Anda khawatir tentang kinerja, HTTP/3 melalui QUIC dapat memberikan peningkatan tambahan dengan melakukan multiplexing kueri tanpa pemblokiran.
Cara kerja DNS, risiko umum, dan peran DoH
Sistem operasi biasanya mempelajari resolver mana yang akan digunakan melalui DHCP; Di rumah Anda biasanya menggunakan ISP, di kantor, jaringan perusahaan. Ketika komunikasi ini tidak terenkripsi (UDP/TCP 53), siapa pun yang terhubung ke Wi-Fi Anda atau di rute dapat melihat domain yang ditanyakan, menyuntikkan respons palsu, atau mengarahkan Anda ke pencarian saat domain tersebut tidak ada, seperti yang dilakukan beberapa operator.
Analisis lalu lintas yang umum mengungkap port, IP sumber/tujuan, dan domain itu sendiri yang diselesaikan; Hal ini tidak hanya memperlihatkan kebiasaan browsing, hal itu juga memudahkan untuk menghubungkan koneksi berikutnya, misalnya, ke alamat Twitter atau yang serupa, dan menyimpulkan halaman mana saja yang telah Anda kunjungi.
Dengan DoT, pesan DNS masuk ke dalam TLS pada port 853; dengan DoH, permintaan DNS dienkapsulasi dalam permintaan HTTPS standar, yang juga memungkinkan penggunaannya oleh aplikasi web melalui API peramban. Kedua mekanisme ini memiliki fondasi yang sama: autentikasi server dengan sertifikat dan saluran terenkripsi ujung ke ujung.
Masalah dengan pelabuhan baru adalah bahwa hal ini umum terjadi beberapa jaringan memblokir 853, mendorong perangkat lunak untuk "beralih" ke DNS yang tidak terenkripsi. DoH memitigasi hal ini dengan menggunakan 443, yang umum digunakan di web. DNS/QUIC juga merupakan opsi lain yang menjanjikan, meskipun memerlukan UDP terbuka dan tidak selalu tersedia.
Bahkan saat mengenkripsi transportasi, berhati-hatilah dengan satu nuansa: Jika resolver berbohong, cipher tidak memperbaikinya.Untuk tujuan ini, terdapat DNSSEC yang memungkinkan validasi integritas respons, meskipun penerapannya belum meluas dan beberapa perantara merusak fungsinya. Meskipun demikian, DoH mencegah pihak ketiga mengintip atau memanipulasi kueri Anda.
Aktifkan tanpa menyentuh router: browser dan sistem
Cara paling mudah untuk memulai adalah mengaktifkan DoH di peramban atau sistem operasi Anda. Beginilah cara Anda melindungi pertanyaan dari tim Anda tanpa bergantung pada firmware router.
Google Chrome
Pada versi saat ini Anda dapat pergi ke chrome://settings/security dan, di bawah “Gunakan DNS aman”, aktifkan opsi dan pilih penyedia (penyedia layanan Anda saat ini jika mereka mendukung DoH atau salah satu dari daftar Google seperti Cloudflare atau Google DNS).
Di versi sebelumnya, Chrome menawarkan peralihan eksperimental: ketik chrome://flags/#dns-over-https, cari “Pencarian DNS Aman” dan ubah dari Default ke EnabledMulai ulang peramban Anda untuk menerapkan perubahan.
Microsoft Edge (Chromium)
Edge berbasis Chromium juga memiliki opsi serupa. Jika Anda membutuhkannya, kunjungi edge://flags/#dns-over-https, temukan “Pencarian DNS Aman” dan aktifkan di DiaktifkanDalam versi modern, aktivasi juga tersedia di pengaturan privasi Anda.
Mozilla Firefox
Buka menu (kanan atas) > Pengaturan > Umum > gulir ke bawah ke “Pengaturan Jaringan”, ketuk Konfigurasi dan tandai “Aktifkan DNS melalui HTTPSAnda dapat memilih penyedia seperti Cloudflare atau NextDNS.
Jika Anda lebih suka kontrol yang halus, di about:config menyesuaikan network.trr.mode: 2 (oportunis) menggunakan DoH dan membuat fallback jika tidak tersedia; 3 mandat (ketat) DoH dan gagal jika tidak ada dukungan. Dengan mode ketat, definisikan resolver bootstrap sebagai network.trr.bootstrapAddress=1.1.1.1.
Opera
Sejak versi 65, Opera menyertakan opsi untuk aktifkan DoH dengan 1.1.1.1. Ini dinonaktifkan secara default dan beroperasi dalam mode oportunistik: jika 1.1.1.1:443 merespons, ia akan menggunakan DoH; jika tidak, ia akan kembali ke resolver yang tidak terenkripsi.
Windows 10/11: Deteksi Otomatis (AutoDoH) dan Registri
Windows dapat mengaktifkan DoH secara otomatis dengan resolver tertentu yang dikenal. Di versi yang lebih lama, Anda dapat memaksakan perilaku tersebut dari Registry: jalankan regedit dan pergi ke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.
Buat DWORD (32-bit) yang disebut EnableAutoDoh dengan nilai 2 y Mulai ulang komputer.Ini berfungsi jika Anda menggunakan server DNS yang mendukung DoH.
Windows Server 2022: Klien DNS dengan DoH asli
Klien DNS bawaan di Windows Server 2022 mendukung DoH. Anda hanya dapat menggunakan DoH dengan server yang ada di daftar “DoH yang Diketahui”. atau yang Anda tambahkan sendiri. Untuk mengonfigurasinya dari antarmuka grafis:
- Buka Pengaturan Windows > Jaringan dan Internet.
- Memasuki Ethernet dan pilih antarmuka Anda.
- Pada layar jaringan, gulir ke bawah ke Configuración de DNS dan tekan Edit.
- Pilih “Manual” untuk menentukan server pilihan dan alternatif.
- Jika alamat tersebut ada di daftar DoH yang diketahui, maka akan diaktifkan “Enkripsi DNS Pilihan” dengan tiga pilihan:
- Hanya enkripsi (DNS melalui HTTPS): Paksa DoH; jika server tidak mendukung DoH, tidak akan ada resolusi.
- Lebih suka enkripsi, izinkan yang tidak terenkripsi: Mencoba DoH dan jika gagal, kembali ke DNS klasik yang tidak terenkripsi.
- Hanya tidak terenkripsi: Menggunakan DNS teks biasa tradisional.
- Simpan untuk menerapkan perubahan.
Anda juga dapat menanyakan dan memperluas daftar resolver DoH yang diketahui menggunakan PowerShell. Untuk melihat daftar saat ini:
Get-DNSClientDohServerAddressUntuk mendaftarkan server DoH baru yang diketahui dengan templat Anda, gunakan:
Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $TruePerhatikan bahwa cmdlet Set-DNSClientServerAddress tidak mengendalikan dirinya sendiri penggunaan DoH; enkripsi bergantung pada keberadaan alamat tersebut dalam tabel server DoH yang diketahui. Saat ini Anda tidak dapat mengonfigurasi DoH untuk klien DNS Windows Server 2022 dari Pusat Admin Windows atau dengan sconfig.cmd.
Kebijakan Grup di Windows Server 2022
Ada sebuah arahan yang disebut “Konfigurasi DNS melalui HTTPS (DoH)” en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSSaat diaktifkan, Anda dapat memilih:
- Izinkan DoH: Gunakan DoH jika server mendukungnya; jika tidak, kueri tidak terenkripsi.
- Larangan DoH: tidak pernah menggunakan DoH.
- Memerlukan DoH: memaksa DoH; jika tidak ada dukungan, resolusi gagal.
Penting: Jangan aktifkan “Require DoH” pada komputer yang tergabung dalam domainDirektori Aktif bergantung pada DNS, dan peran Server DNS Windows Server tidak mendukung kueri DoH. Jika Anda perlu mengamankan lalu lintas DNS dalam lingkungan AD, pertimbangkan untuk menggunakan Aturan IPsec antara klien dan penyelesai internal.
Jika Anda tertarik untuk mengalihkan domain tertentu ke resolver tertentu, Anda dapat menggunakan NRPT (Tabel Kebijakan Resolusi Nama)Jika server tujuan ada di daftar DoH yang diketahui, konsultasi tersebut akan melewati DoH.
Android, iOS dan Linux
Di Android 9 dan lebih tinggi, opsi DNS privado memungkinkan DoT (bukan DoH) dengan dua mode: “Otomatis” (oportunistik, mengambil resolver jaringan) dan “Ketat” (Anda harus menentukan nama host yang divalidasi oleh sertifikat; IP langsung tidak didukung).
Di iOS dan Android, aplikasi ini 1.1.1.1 Cloudflare mengaktifkan DoH atau DoT dalam mode ketat menggunakan API VPN untuk mencegat permintaan yang tidak terenkripsi dan meneruskannya melalui saluran yang aman.
Di Linux, systemd-resolved mendukung DoT sejak systemd 239. Ini dinonaktifkan secara default; ia menawarkan mode oportunistik tanpa memvalidasi sertifikat dan mode ketat (sejak 243) dengan validasi CA tetapi tanpa SNI atau verifikasi nama, yang melemahkan model kepercayaan terhadap penyerang di jalan.
Di Linux, macOS, atau Windows, Anda dapat memilih klien DoH mode ketat seperti cloudflared proxy-dns (secara default menggunakan 1.1.1.1, meskipun Anda dapat menentukan hulu alternatif).
Server DoH yang Dikenal (Windows) dan cara menambahkannya
Windows Server menyertakan daftar resolver yang diketahui mendukung DoH. Anda dapat memeriksanya dengan PowerShell dan tambahkan entri baru jika perlu.
Ini adalah server DoH yang dikenal di luar kotak:
| Pemilik Server | Alamat IP server DNS |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
| Quad9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Untuk ver la lista, Lari:
Get-DNSClientDohServerAddressUntuk tambahkan resolver DoH baru dengan templatnya, usa:
Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $TrueJika Anda mengelola beberapa namespace, NRPT akan memungkinkan Anda untuk mengelola domain tertentu ke resolver spesifik yang mendukung DoH.
Cara memeriksa apakah DoH aktif
Di browser, kunjungi https://1.1.1.1/help; di sana Anda akan melihat apakah lalu lintas Anda menggunakan DoH dengan 1.1.1.1 atau tidak. Ini tes cepat untuk melihat status Anda.
Di Windows 10 (versi 2004), Anda dapat memantau lalu lintas DNS klasik (port 53) dengan pktmon dari konsol istimewa:
pktmon filter add -p 53
pktmon start --etw -m real-timeJika aliran paket konstan muncul di 53, kemungkinan besar Anda masih menggunakan DNS yang tidak terenkripsiIngat: parameternya --etw -m real-time membutuhkan 2004; pada versi sebelumnya Anda akan melihat kesalahan “parameter tidak dikenal”.
Opsional: konfigurasikan di router (MikroTik)
Jika Anda lebih suka memusatkan enkripsi pada router, Anda dapat dengan mudah mengaktifkan DoH pada perangkat MikroTik. Pertama, impor CA root yang akan ditandatangani oleh server yang akan Anda hubungkan. Untuk Cloudflare, Anda dapat mengunduh DigiCertGlobalRootCA.crt.pem.
Unggah file ke router (dengan menyeretnya ke “File”), dan buka Sistem > Sertifikat > Impor untuk menggabungkannya. Kemudian, konfigurasikan DNS router dengan URL Cloudflare DoHSetelah aktif, router akan memprioritaskan koneksi terenkripsi daripada DNS default yang tidak terenkripsi.
Untuk memvalidasi bahwa semuanya beres, kunjungi 1.1.1.1/bantuan dari komputer di belakang router. Anda juga dapat melakukan semuanya melalui terminal di RouterOS jika Anda mau.
Performa, privasi tambahan, dan batasan pendekatan
Dalam hal kecepatan, dua metrik penting: waktu penyelesaian dan pemuatan halaman aktual. Tes independen (seperti SamKnows) Mereka menyimpulkan bahwa perbedaan antara DoH dan DNS klasik (Do53) bersifat marjinal pada kedua sisi; dalam praktik, Anda seharusnya tidak merasakan adanya kelambatan.
DoH mengenkripsi “permintaan DNS,” tetapi ada lebih banyak sinyal di jaringan. Bahkan jika Anda menyembunyikan DNS, ISP dapat menyimpulkan sesuatu melalui koneksi TLS (misalnya, SNI dalam beberapa skenario lama) atau jejak lainnya. Untuk meningkatkan privasi, Anda dapat menjelajahi DoT, DNSCrypt, DNSCurve, atau klien yang meminimalkan metadata.
Belum semua ekosistem mendukung DoH. Banyak resolver lama tidak menawarkan hal ini., yang memaksa ketergantungan pada sumber daya publik (Cloudflare, Google, Quad9, dll.). Hal ini membuka perdebatan tentang sentralisasi: memfokuskan kueri pada beberapa aktor akan menimbulkan biaya privasi dan kepercayaan.
Di lingkungan perusahaan, DoH mungkin berbenturan dengan kebijakan keamanan yang didasarkan pada Pemantauan atau penyaringan DNS (malware, kontrol orang tua, kepatuhan hukum). Solusinya mencakup MDM/Kebijakan Grup untuk mengatur resolver DoH/DoT ke mode ketat, atau dikombinasikan dengan kontrol tingkat aplikasi, yang lebih presisi daripada pemblokiran berbasis domain.
DNSSEC melengkapi DoH: DoH melindungi transportasi; DNSSEC memvalidasi responsAdopsinya tidak merata, dan beberapa perangkat perantara merusaknya, tetapi trennya positif. Di sepanjang jalur antara resolver dan server otoritatif, DNS secara tradisional tetap tidak terenkripsi; sudah ada eksperimen penggunaan DoT di antara operator besar (misalnya, 1.1.1.1 dengan server otoritatif Facebook) untuk meningkatkan perlindungan.
Alternatif perantara adalah mengenkripsi hanya antara router dan resolver, sehingga koneksi antara perangkat dan router tidak terenkripsi. Berguna pada jaringan kabel yang aman, tetapi tidak disarankan pada jaringan Wi-Fi terbuka: pengguna lain dapat memata-matai atau memanipulasi kueri ini di dalam LAN.
Buat resolver DoH Anda sendiri
Jika Anda menginginkan independensi penuh, Anda dapat menggunakan resolver Anda sendiri. Tidak terikat + Redis (cache L2) + Nginx adalah kombinasi populer untuk menyajikan URL DoH dan memfilter domain dengan daftar yang dapat diperbarui secara otomatis.
Tumpukan ini berjalan sempurna pada VPS sederhana (misalnya, satu inti/2 kabel untuk keluarga). Tersedia panduan dengan instruksi siap pakai, seperti repositori ini: github.com/ousatov-ua/dns-filtering. Beberapa penyedia VPS menawarkan kredit selamat datang untuk pengguna baru, sehingga Anda dapat menyiapkan uji coba dengan biaya rendah.
Dengan resolver pribadi Anda, Anda dapat memilih sumber penyaringan, memutuskan kebijakan penyimpanan, dan hindari memusatkan pertanyaan Anda kepada pihak ketiga. Sebagai imbalannya, Anda mengelola keamanan, pemeliharaan, dan ketersediaan tinggi.
Sebelum menutup, catatan validitas: di Internet, opsi, menu, dan nama sering berubah; beberapa panduan lama sudah ketinggalan zaman (Misalnya, menelusuri "bendera" di Chrome tidak lagi diperlukan dalam versi terbaru.) Selalu periksa dokumentasi browser atau sistem Anda.
Jika Anda sudah sampai sejauh ini, Anda sudah tahu apa yang dilakukan DoH, bagaimana hal itu cocok dengan teka-teki dengan DoT dan DNSSEC, dan yang terpenting, cara mengaktifkannya sekarang juga di perangkat Anda untuk mencegah DNS berjalan tanpa diketahui. Dengan beberapa klik di peramban Anda atau penyesuaian di Windows (bahkan pada tingkat kebijakan di Server 2022), Anda akan memiliki kueri terenkripsi; jika Anda ingin meningkatkannya ke tingkat berikutnya, Anda dapat memindahkan enkripsi ke router MikroTik atau membangun resolver Anda sendiri. Kuncinya adalah, Tanpa menyentuh router Anda, Anda dapat melindungi salah satu bagian lalu lintas yang paling banyak dibicarakan saat ini..
Bergairah tentang teknologi sejak dia masih kecil. Saya senang mengetahui perkembangan terkini di sektor ini dan, yang terpenting, mengomunikasikannya. Itulah sebabnya saya telah mendedikasikan diri pada komunikasi di situs web teknologi dan video game selama bertahun-tahun. Anda dapat menemukan saya menulis tentang Android, Windows, MacOS, iOS, Nintendo, atau topik terkait lainnya yang terlintas dalam pikiran Anda.