
Mikä on DNS over HTTPS (DoH)? Ohje päälle vai pois
Kun selaimet alkoivat salata DNS-kyselyitä HTTPS:n sisällä, verkko-operaattorit menivät hämmennyksiin: samalla portilla kulkee nyt sekä tavallinen webbisurffaus että osoitteiden selvittäminen. DNS over HTTPS (DoH) on IETF:n vuonna 2018 julkaiseman RFC 8484 -standardin mukainen protokolla, joka kätkee DNS-liikenteen osaksi normaalia encrypted-liikennettä — ja jakaa mielipiteitä puolesta ja vastaan. Tämä artikkeli avaa eron DoH:n ja DNS over TLS:n (DoT) välillä ja auttaa päättämään, kumpi kannattaa ottaa käyttöön.
Salaa DNS-kyselyt: HTTPS-protokollalla · Käyttää HTTP/2 ja HTTP/3: tuki · Estää verkkoverkon valvonnan: domain-nimien vuodon · Firefox ja Cloudflare tukevat: ensimmäisistä · RFC 8484 määrittää: standardi
Pikakatsaus
- DoH salaa domain-kyselyt HTTPS:llä ja piilottaa ne porttiin 443 (Catchpoint)
- DoT toimii portissa 853 erillisenä TLS-liikenteenä (Catchpoint)
- RFC 8484 julkaistiin 17. lokakuuta 2018 (Corelight)
- DoH:n tarkka vaikutus pelisuorituskykyyn latenssien kautta ei ole täysin mitattu
- Täyden suojan varmistaminen DNS-kaappauksilta DoH:lla vaatii lisätutkimusta
- DoH:n käyttö kasvanut selaimissa vuodesta 2019 lähtien
- Kiista DoH:n verkon ohittamisesta noussut näkyväksi vuodesta 2020
- DoH:n ja DoT:n rinnakkaiselo jatkuu — valinta riippuu käyttöympäristöstä
- Yritysverkot increasingly estävät DoH:ta palomuureilla valvonnan säilyttämiseksi
Viiden kohdan tarkastelussa on selkeä jako: DoH palvelee yksityisyyttä hakceroinnilta, kun taas DoT mahdollistaa organisaatioiden paremman verkkohallinnan.
| Attribuutti | Arvo |
|---|---|
| Protokollan nimi | DNS over HTTPS (DoH) |
| RFC-standardi | 8484 |
| Portti | 443 |
| Tukijat | Firefox, Chrome, Cloudflare |
| Vaihtoehto | DNS over TLS (DoT) |
Yllä oleva taulukko tiivistää DoH:n perusparametrit, jotka erottavat sen perinteisestä DNS:stä ja DoT:stä.
Mikä on DNS over HTTPS (DoH)?
DoH:n määritelmä
DNS over HTTPS salaa perinteisen DNS-kyselyn niin, että se kulkee tavallisen HTTPS-liikenteen mukana portissa 443. Käyttäjän laite lähettää DNS-kyselyn HTTP/2- tai HTTP/3-protokollalla salattuun yhteyteen, jolloin verkko-operaattori näkee ainoastaan encrypted-trafficia ilman mahdollisuutta erottaa osoitteiden selvittämistä tavallisesta webbiselaamisesta (Catchpoint).
IETF:n RFC 8484 -standardi määrittelee DoH:n tekniset vaatimukset. HTTP/2 on pakollinen perusvaatimus, ja HTTP/3-tuella voi olla merkitystä tulevaisuudessa nopeusoptimointien kannalta (Corelight).
Ero tavalliseen DNS:ään
Perinteinen DNS toimii selkotekstinä verkossa — kuka tahansa reitittimellä voi lukea, mitä osoitteita käyttäjä kysyy. DoH lisää kerroksen, jossa kysely kapseloidaan HTTPS:n sisään. Kun käyttäjä kirjoittaa selaimen osoiteriville “example.com”, DoH-prosessi tapahtuu taustalla ilman, että ulkopuolinen näkee, että juuri tuota osoitetta haetaan. Tämä estää verkko-operaattoreiden ja mahdollisten urkkijoitten tiedonsaannin domain-nimistä.
HTTPS-sivustoilla suurin osa liikenteestä on jo salattua, mutta DNS-kyselyt ovat perinteisesti kulkeneet salaamattomina. DoH sulkee tämän aukon tekemällä osoitteiden selvittämisen yhtä näkymättömäksi kuin itse sisällön.
Kuinka DNS over HTTPS toimii?
Kyselyprosessi
DoH-kysely alkaa, kun käyttäjän laite tarvitsee IP-osoitteen domain-nimelle. Sen sijaan, että se lähettäisi plaintext-DNS-kyselyn UDP-porttiin 53, se muodostaa HTTPS-yhteyden DoH-palvelimelle. Kysely encapsulatedaan HTTP POST -pyyntöön, joka liikkuu portissa 443 tavallisen webbiliikenteen seassa. DoH-palvelin vastaanottaa pyynnön, selvittää osoitteen ja palauttaa vastauksen salattuna samassa yhteydessä (DNSFilter).
Tämä prosessi on suunniteltu näkymäänttömäksi käyttäjälle — selain hoitaa kyselyt automaattisesti, jos DoH on käytössä. Käyttäjä ei näe eroa selatessaan verkkosivuja, mutta verkko-operaattori ei pysty erottelemaan DNS-liikennettä muusta HTTPS-liikenteestä.
Salatun yhteyden muodostus
HTTPS-yhteys tarkoittaa, että kaikki liikenne on TLS-salausta. DoH käyttää TLS 1.2:ta minimissään ja TLS 1.3:ta suosituimpana versiona, mikä takaa vahvan salauksen koko yhteyden ajaksi (Control D). Koska DNS-kyselyt matkustavat samassa tunnelissa kuin selainliikenne, niitä ei voida erottaa pakettitasolla ilman yhteyden purkamista.
Vahvan salauksen merkitys korostuu erityisesti silloin, kun käyttäjä on yhteydessä epävarmojen verkkojen kautta — esimerkiksi julkisissa Wi-Fi-verkoissa tai maissa, joissa verkkovalvonta on aktiivista.
TLS-salaus suojaa liikenteen sisällön, mutta DoH:n käyttämä DoH-palvelin näkee silti kaikki kyselyt. Käyttäjä siirtää luottamuksen verkko-operaattorilta kolmannen osapuolen palveluntarjoajalle — tämä vaihtoehto ei välttämättä ole aina parempi.
Miksi DNS over HTTPS on kiistanalainen?
Tietoturvan hyödyt
Yksityiskäyttäjän näkökulmasta DoH tarjoaa merkittävän parannuksen yksityisyyteen. DNS-kyselyt, jotka aiemmin kulkivat selkotekstinä, ovat nyt suojattuja urkkijolta, joka ei voi enää nähdä, mitä verkkosivustoja käyttäjä todennäköisesti aikoo vierailla (Cloudflare). Tämä on erityisen tärkeää tilanteissa, joissa verkonvalvonta tai DNS-pohjainen mainonnanseuranta halutaan estää.
DoH helpottaa myös sensuurin kiertämistä: koska kaikki HTTPS-liikenne näyttää samalta, maat, jotka haluavat estää tiettyjen sivustojen käytön, eivät voi estää DoH:ta estämättä kaikkea HTTPS-liikennettä (Corelight).
Verkko-operaattoreiden haitat
Verkko-operaattoreille ja yritysten IT-osastoille DoH aiheuttaa päänsärkyä. Perinteisesti DNS-liikenne on ollut erillinen portti, joka mahdollisti verkonvalvonnan, haittaohjelmien suodatuksen ja DNS-pohjaiset estojärjestelmät. DoH tekee tästä mahdotonta: koska liikenne on enkapsuloitu HTTPS:aan, se ei erotu tavallisesta webbiliikenteestä (Control D).
DNS-asiantuntija Paul Vixie on kuvaillut DoH:tä “yritysverkkojen ja muiden yksityisverkkojen ohittamiseksi” (over-the-top bypass) (TheSSLStore). Tämä tarkoittaa, että käyttäjät voivat kiertää organisaation tietoturvakäytäntöjä käyttämällä DoH:ta, joka piilottaa liikenteen yritysverkon hallintavälineiden ulottumattomiin.
The implication: organisaatioille DoH:n estäminen on välttämätöntä, koska ilman näkyvyyttä DNS-liikenteeseen tietoturvatiimit menettävät kykynsä havaita uhkia.
Organisaatioissa DoH voi mahdollistaa haittaohjelmien kommunikaation, koska ne voivat piilottaa DNS-kyselynsä normaalin HTTPS-liikenteen sekaan. Tämä on yksi syy, miksi monet yritysverkot estävät DoH:n kokonaan palomuureillaan.
Pitäisikö kytkeä DNS over HTTPS päälle vai pois?
Hyödyt yksityiskäyttäjälle
Yksityiskäyttäjälle DoH on suositeltava valinta, jos tavoitteena on vahva yksityisyyden suoja. Erityisesti se kannattaa ottaa käyttöön, jos käyttää usein julkisia Wi-Fi-verkkoja, asuu maassa, jossa verkkovalvonta on aktiivista, tai haluaa estää mainonnanseurannan DNS-tasolla. Firefox ja Chrome tukevat DoH:ta omissa asetuksissaan, ja monet DNS-palveluntarjoajat tarjoavat DoH-pohjaisia vaihtoehtoja.
Yksittäinen käyttäjä hyötyy DoH:sta erityisesti silloin, kun haluaa estää Internet-palveluntarjoajaltaan (ISP) domain-nimien seurannan. HTTPS-salauksen lisäksi DoH estää myös DNS-pakettien injektoinnin, jossa väliaikaisia mainoksia tai haittaohjelmia lisätään vastauksiin.
Haitat yritysverkoissa
Yritysympäristöissä DoH:n käyttö on ongelmallista. IT-osastot tarvitsevat näkyvyyden DNS-liikenteeseen voidakseen estää haittaohjelmia, tunnistaa tietovuotoja ja ylläpitää tietoturvakäytäntöjä. DoH poistaa tämän näkyvyyden tekemällä DNS-kyselyistä näkymättömiä verkonvalvontajärjestelmille (CloudNS).
Suuryritykset ja julkishallinnon organisaatiot increasingly estävät DoH:n palomuureillaan varmistaakseen, että DNS-liikenne kulkee edelleen valvottujen kanavien kautta. Tämä tarkoittaa, että yritysverkossa DoH:n käyttöönotto vaatii IT-osaston hyväksynnän ja voi johtaa tietoturvasääntöjen rikkomiseen.
The catch: yritysverkossa DoH:n käyttö ilman lupaa rikkoo tietoturvakäytäntöjä ja avaa mahdollisuuden haittaohjelmien piilottamiselle.
Hyödyt
- Vahva yksityisyyden suoja julkisissa verkoissa
- Estää DNS-pohjaisen mainonnanseurannan
- Vaikeuttaa sensuurin ja verkkohyökkäysten tunnistamista hyökkääjän näkökulmasta
- Automaattinen fallback suojaa kaappauksilta
Haitat
- Estää yritysverkkojen tietoturvatyökalut näkemästä DNS-liikennettä
- Siirtää luottamuksen kolmannen osapuolen palvelimelle
- Lisää hieman latenssia HTTP-kapseloinnin takia
- Haittaohjelmat voivat piilottaa liikenteensä DoH:ta käyttämällä
Mikä ero DNS over HTTPS:llä ja DNS over TLS:llä?
Portit ja protokollat
DoH ja DoT eroavat toisistaan perustavanlaatuisesti siinä, miten ne kuljettavat salattua DNS-liikennettä. DoH käyttää porttia 443 ja HTTP/2/HTTP/3-protokollaa, kun taas DoT toimii portissa 853 käyttäen suoraan TLS:ää ilman HTTP-kapselointia. Tämä tarkoittaa, että DoT on suoraviivaisempi ja nopeampi, koska se ei lisää HTTP-kerroksen yleiskustannuksia (Catchpoint).
Toinen merkittävä ero on siinä, miten liikenne voidaan estää. DoT käyttää erillistä porttia 853, joka on helppo estää palomuurissa estämättä muuta verkkoliikennettä. DoH sen sijaan kulkee portissa 443, joka on välttämätön HTTPS-liikenteelle — estämällä DoH:n estettäisiin myös kaikki normaalit verkkosivut.
Käyttötapaukset
DoT sopii paremmin tilanteisiin, joissa verkonvalvonta on tärkeää: yritysverkot, reitittimet ja palomuurit voivat helposti seurata ja hallita DoT-liikennettä. Se tarjoaa myös pienemmän latenssin ja vakaamman suorituskyvyn, koska liikenne ei sisällä HTTP-optimointikerrosta (DNSFilter).
DoH puolestaan sopii sovelluksiin ja selaimiin, joissa integraatio on luontevampi HTTP:n kautta. selainten kehittäjät ovatkin suosineet DoH:ta sen helpomman integraation takia — Chrome ja Firefox tukevat DoH:ta natiivisti, kun taas DoT vaatii erillisen käyttöjärjestelmätason konfiguroinnin (Control D).
The pattern: DoT palvelee verkonvalvojia, DoH palvelee yksityisyyttä hakevia käyttäjiä — valinta määrittelee, kuka näkee liikenteesi.
Yksityiskäyttäjä valitsee DoH:n — se on helppo ottaa käyttöön selaimen asetuksista ja tarjoaa riittävän suojan. Yritysverkon ylläpitäjä valitsee DoT:n — se mahdollistaa jatkuvan valvonnan ja estää haittaohjelmien DNS-pohjaisen kommunikaation.
Kuinka ottaa DNS over HTTPS käyttöön?
DoH:n käyttöönotto vaihtelee käyttöjärjestelmän ja selaimen mukaan. Firefox ja Chrome tarjoavat DoH-asetukset omissa valikoissaan, kun taas käyttöjärjestelmätason DoH vaatii erillisen konfiguroinnin Windowsissa tai macOS:ssä.
- Firefox: Avaa Asetukset > Verkkoasetukset > Verkkoyhteyden asetukset > Valitse “Ota käyttöön DNS over HTTPS” ja valitse palveluntarjoaja tai anna mukautettu osoite.
- Chrome: Siirry osoitteeseen chrome://settings/security, vieritä alas kohtaan “Edistynyt” ja aktivoi DoH.
- Windows 11: Verkkoasetuksissa on DoH-vaihtoehto DNS-palvelimien asetuksissa.
- macOS: Vaatii terminaalikomennon tai kolmannen osapuolen sovelluksen.
Jos DoH ei ole käytettävissä suoraan, monet DNS-palveluntarjoajat kuten Cloudflare (1.1.1.1) ja Google Public DNS tarjoavat DoH-pohjaisia osoitteita, jotka voidaan konfiguroida selaimen tai sovelluksen asetuksissa.
On tärkeää huomata, että DoH:n käyttöönotto selaimessa ei vaikuta muihin sovelluksiin — ne jatkavat perinteisen DNS:n käyttöä. Järjestelmätason DoH vaatii käyttöjärjestelmäasetusten muuttamista.
Yritysverkoissa DoH:n käyttöönotto ilman IT-osaston hyväksyntää voi johtaa tietoturvasääntöjen rikkomiseen. Jos työkone on osa yritysverkkoa, on suositeltavaa keskustella IT-osaston kanssa ennen DoH:n käyttöönottoa.
DoH is an over the top bypass of enterprise and other private networks.
— Paul Vixie, DNS-asiantuntija (TheSSLStore)
From a network security standpoint, DoT is often preferred because it allows network administrators to monitor and block DNS queries.
— CloudNS (DNS-palveluntarjoaja) (CloudNS)
DoH queries are hidden in regular HTTPS traffic, meaning they cannot easily be blocked without blocking all other HTTPS traffic as well.
— Cloudflare (Verkkoyritys) (Cloudflare)
DoH ja DoT edustavat kahta erilaista lähestymistapaa DNS:n salaamiseen: DoH priorisoi yksityisyyttä piilottamalla liikenteen HTTPS:n sekaan, kun taas DoT priorisoi valvottavuutta erillisellä portilla. Kumpi valitaan, riippuu siitä, kumpaa arvostetaan enemmän — omaa yksityisyyttä vai verkon hallittavuutta. Yksityiskäyttäjä hyötyy DoH:n tarjoamasta suojasta julkisissa verkoissa ja sensuurin kiertämisessä, mutta yritysverkossa DoT on turvallisempi valinta, koska se mahdollistaa tietoturvatiimin jatkuvan näkyvyyden liikenteeseen. DoH:n käyttö ilman organisaation lupaa voi johtaa tietoturvasääntöjen rikkomiseen — tämä riski kannattaa punnita ennen päätöksentekoa.
Aiheeseen liittyvää: Reititin vai modeemi – Vertailu ja operaattiopas · Ookla Speedtest: Netin nopeustesti ilmaiseksi Suomessa
DoH kapseloi DNS-kyselyt HTTPS-suojaukseen parantaen yksityisyyttä, Uutiszonen selityksessä käsitellään sen hyödyt ja käyttöönotto tarkasti.
Usein kysytyt kysymykset
Onko DNS over HTTPS epäilyttävä?
DoH ei ole sinänsä epäilyttävä — se on IETF:n standardoima protokolla, jota suuret toimijat kuten Cloudflare ja Mozilla tukevat. Kriittinen näkökulma liittyy siihen, että DoH siirtää luottamuksen Internet-palveluntarjoajalta kolmannen osapuolen palveluntarjoajalle. Organisaatioissa DoH:n käyttö ilman lupaa voi kuitenkin rikkoa tietoturvakäytäntöjä.
Miten tarkistan DNS-kaappauksen?
DNS-kaappauksen voi havaita vertaamalla selaimen näyttämää IP-osoitetta todelliseen sijaintiin tai käyttämällä online-työkaluja kuten “What’s My DNS”. Joskus kaappaus ilmenee mainoksina tai uudelleenohjauksina, joita ei pitäisi näkyä.
Toimiiko DNS over HTTPS pelaamisessa?
DoH lisää hieman latenssia HTTP-kapseloinnin takia verrattuna perinteiseen DNS:ään tai DoT:hen. Vaikutus on tyypillisesti muutamia millisekunteja, mikä ei yleensä vaikuta pelaamiseen merkittävästi. Jotkut kilpapelaajat saattavat kuitenkin suosia perinteistä DNS:ää tai DoT:tä minimaalisen viiveen saavuttamiseksi.
Mikä on DNS over HTTPS fallback?
Useimmat DoH-toteutukset sisältävät fallback-mekanismin: jos DoH-palvelin ei vastaa, järjestelmä palaa automaattisesti perinteiseen DNS:ään. Tämä varmistaa, että verkkoyhteys säilyy myös silloin, kun DoH-palvelin on tilapäisesti poissa käytöstä.
Tarvitseeko DoH manuaalisen asetuksen?
Firefox ja Chrome mahdollistavat DoH:n käyttöönoton selaimen asetuksista ilman manuaalista konfigurointia. Käyttöjärjestelmätasolla DoH vaatii usein manuaalisen asetuksen — erityisesti Windowsissa ja macOS:ssä.
Estääkö DoH verkkohyökkäyksiä?
DoH ei estä verkkohyökkäyksiä suoraan, mutta se suojaa DNS-liikennettä eavesdroppingilta ja mahdolliselta DNS-kaappaukselta. Se ei kuitenkaan estä esimerkiksi man-in-the-middle -hyökkäyksiä, jotka kohdistuvat itse yhteyteen HTTPS-yhteyden purkamisen jälkeen.
Kumpi parempi: DoH vai DoT?
DoH sopii yksityiskäyttäjille, jotka arvostavat yksityisyyttä ja helppoa käyttöönottoa selaimissa. DoT sopii paremmin yritysverkoissa, joissa valvonta on tärkeää, ja tilanteissa, joissa vaaditaan minimaalista latenssia. Kumpi valitaan, riippuu käyttöympäristöstä ja prioriteeteista.