Войти
DNS over TLS (DoT ) - это протокол безопасности для шифрования и упаковки запросов и ответов системы доменных имен (DNS) через Transport Layer Security (TLS) протокол. Цель метода - повысить конфиденциальность и безопасность пользователей за счет предотвращения перехвата и манипулирования данными DNS с помощью атак типа «человек посередине».
По состоянию на 2020 год, Cloudflare, Quad9, Google, Quadrant Information Security, CleanBrowsing, LibreOps, DNSlify Telsy и AdGuard предоставляют общедоступный DNS резольвер через DNS через TLS. В апреле 2018 года Google объявил, что Android Pie будет включать поддержку DNS через TLS, что позволит пользователям настраивать DNS-сервер на уровне телефона как для Wi-Fi, так и для мобильных подключений - вариант, который раньше был возможен только на корневых устройств. DNSDist из PowerDNS также объявил о поддержке DNS через TLS в своей последней версии 1.3.0. Пользователи BIND также могут предоставлять DNS через TLS, проксируя его через stunnel. Unbound поддерживает DNS через TLS с 22 января 2018 года. Unwind поддерживает DoT с 29 января 2019 года. Благодаря поддержке Android Pie DNS через TLS некоторые блокировщики рекламы теперь поддерживают использование зашифрованный протокол как относительно простой способ доступа к их службам по сравнению с любым из различных методов обхода, обычно используемых, таких как VPN и прокси-серверы.
Многие общедоступные рекурсивные серверы поддерживают DoT, но клиентские системы часто требуют согласия.
Клиенты Android под управлением Android 9 (Pie) или новее поддерживают DNS через TLS. Пользователи
Linux и Windows могут использовать DNS через TLS в качестве клиента через NLnet Labs коротышка mon или Knot Resolver. В качестве альтернативы они могут установить getdns-utils для использования DoT напрямую с помощью инструмента getdns_query. несвязанный DNS-преобразователь от NLnet Labs также поддерживает DNS через TLS.
Apple iOS 14 представила поддержку на уровне ОС для DNS через TLS (и DNS через HTTPS). iOS не позволяет настраивать серверы DoT вручную и требует использования стороннего приложения для внесения изменений в конфигурацию.
systemd-resolved - это реализация только для Linux, которую можно настроить для использования DNS через TLS, отредактировав /etc/systemd/resolved.confи включив настройку DNSOverTLS. В большинстве основных дистрибутивов Linux по умолчанию установлен systemd.
personalDNSfilter - это фильтр DNS с открытым исходным кодом с поддержкой DoT и DoH (DNS over HTTPS ) для устройств с поддержкой Java. включая Android.
Nebulo - это приложение для смены DNS с открытым исходным кодом для Android, которое поддерживает как DoT, так и DoH.
DoT может препятствовать анализу и мониторингу трафика DNS в целях кибербезопасности. DoT использовался для обхода родительского контроля, который работает на (незашифрованном) стандартном уровне DNS; Circle, маршрутизатор родительского контроля, который использует DNS-запросы для проверки доменов на соответствие черным спискам, по умолчанию блокирует DoT из-за этого. Однако есть поставщики DNS, которые предлагают фильтрацию и родительский контроль, а также поддержку DoT и DoH. В этом сценарии запросы DNS проверяются по спискам блокировки после того, как они получены провайдером, а не перед отправкой с маршрутизатора пользователя.
Шифрование само по себе не защищает конфиденциальность, шифрование - это просто способ скрыть данные.
Клиенты DoT не запрашивают напрямую какие-либо полномочные серверы имен. Вместо этого клиент полагается на сервер DoT, используя традиционные (порт 53 или 853) запросы, чтобы наконец достичь авторитетных серверов. Таким образом, DoT не квалифицируется как протокол с сквозным шифрованием, только с межсетевым шифрованием и только в том случае, если DNS поверх TLS используется последовательно.
