Koji DNS protokol šifriranja najbolje štiti vaš web promet?

Sustav imena domene (DNS) mnogi smatraju internetskim telefonskim imenikom, koji nazive domena pretvara u računalno čitljive informacije, poput IP adresa .

Kad god napišete naziv domene u adresnu traku, DNS ga automatski pretvara u odgovarajuću IP adresu. Vaš preglednik koristi ove informacije za dohvaćanje podataka s izvornog poslužitelja i učitavanje web stranice.

No cyber kriminalci često mogu nadzirati DNS promet, zbog čega je enkripcija neophodna kako bi vaše pregledavanje weba bilo privatno i sigurno.

Danas se koristi nekoliko DNS protokola za enkripciju. Ovi protokoli šifriranja mogu se koristiti za sprječavanje cyber njuškanja šifriranjem prometa u HTTPS protokolu preko sigurnosne veze prijenosnog sloja (TLS).

1. DNSCrypt

DNSCrypt je mrežni protokol koji šifrira sav DNS promet između korisničkog računala i javnog poslužitelja imena. Protokol koristi infrastrukturu javnih ključeva (PKI) za provjeru autentičnosti vašeg DNS poslužitelja i klijenata.

Koristi dva ključa, javni ključ i privatni ključ, za autentifikaciju komunikacije između klijenta i poslužitelja. Kada se pokrene DNS upit, klijent šifrira upit pomoću javnog ključa poslužitelja.

Šifrirani upit zatim se šalje poslužitelju, koji dekriptira upit koristeći svoj privatni ključ. Na taj način DNSCrypt osigurava da je komunikacija između klijenta i poslužitelja uvijek autentificirana i šifrirana.

DNSCrypt je relativno star mrežni protokol. Uvelike su ga zamijenili DNS-over-TLS (DoT) i DNS-over-HTTPS (DoH) zbog šire podrške i jačih sigurnosnih jamstava koje pružaju ovi noviji protokoli.

2. DNS preko TLS-a

DNS-over-TLS šifrira vaše DNS upite pomoću Transport Layer Security (TLS). TLS osigurava da su vaši DNS upiti šifrirani od početka do kraja, sprječavajući napade čovjeka u sredini (MITM) .

Kada koristite DNS-over-TLS (DoT), vaši se DNS upiti šalju DNS-over-TLS razrješavaču umjesto nešifriranom razrješavaču. DNS-over-TLS rezolver dekodira vaš DNS upit i šalje ga autoritativnom DNS poslužitelju u vaše ime.

Zadani priključak za DoT je TCP priključak 853. Kada se povezujete pomoću DoT-a, i klijent i razrješivač izvode digitalno "rukovanje". Klijent tada šalje svoj DNS upit preko šifriranog TLS kanala na rezolver.

DNS rezolver obrađuje upit, pronalazi odgovarajuću IP adresu i šalje odgovor nazad klijentu putem šifriranog kanala. Klijent prima šifrirani odgovor, gdje se on dekriptira i klijent koristi IP adresu za povezivanje na željenu web stranicu ili uslugu.

3. DNS preko HTTPS-a

HTTPS je sigurna verzija HTTP-a koja se trenutno koristi za pristup web stranicama. Kao i DNS-over-TLS, DNS-over-HTTPS (DoH) također šifrira sve informacije prije nego što se pošalju preko mreže.

Iako je cilj isti, postoje neke temeljne razlike između DoH i DoT. Za početak, DoH šalje sve šifrirane upite preko HTTPS-a umjesto da izravno stvara TLS vezu za šifriranje vašeg prometa.

Drugo, koristi priključak 403 za opću komunikaciju, što otežava razlikovanje od općeg web prometa. DoT koristi priključak 853, što znatno olakšava prepoznavanje prometa s tog priključka i njegovo blokiranje.

DoH je doživio širu primjenu u web preglednicima kao što su Mozilla Firefox i Google Chrome, budući da iskorištava postojeću HTTPS infrastrukturu. DoT češće koriste operativni sustavi i specijalizirani DNS rezolveri, umjesto da se integrira izravno u web preglednike.

Dva su glavna razloga zašto je DoH šire prihvaćen jer ga je puno lakše integrirati u trenutne web preglednike, i što je još važnije, savršeno se stapa s uobičajenim web prometom, čineći blokiranje mnogo težim.

4. DNS preko QUIC-a

U usporedbi s drugim protokolima za šifriranje DNS-a na ovom popisu, DNS-over-QUIC (DoQ) je relativno nov. Ovo je novi sigurnosni protokol koji šalje DNS upite i odgovore putem transportnog protokola QUIC (Quick UDP Internet Connections).

Većina današnjeg internetskog prometa temelji se na Transmission Control Protocolu (TCP) ili User Datagram Protocolu (UDP), pri čemu se DNS upiti često šalju putem UDP-a. Međutim, protokol QUIC rođen je kako bi prevladao neke od nedostataka TCP/UDP-a, pomažući smanjiti kašnjenje i poboljšati sigurnost.

QUIC je relativno novi transportni protokol koji je razvio  Google , dizajniran za bolju izvedbu, sigurnost i pouzdanost od tradicionalnih protokola kao što su TCP i TLS. QUIC kombinira značajke TCP-a i UDP-a i ima ugrađenu enkripciju sličnu TLS-u.

Budući da je noviji, DoQ nudi nekoliko prednosti u odnosu na gore navedene protokole. Za početak, DoQ nudi brže performanse, smanjenu ukupnu latenciju i poboljšano vrijeme povezivanja. To rezultira bržim razrješenjem DNS-a (vrijeme DNS-a za rješavanje IP adresa). U konačnici, to znači da vam se web stranice brže prikazuju.

Što je još važnije, DoQ je otporniji na gubitak podataka u usporedbi s TCP-om i UDP-om, budući da se može oporaviti od izgubljenih paketa bez potrebe za punim ponovnim prijenosom, za razliku od protokola temeljenih na TCP-u.

Nadalje, puno je lakše migrirati veze pomoću QUIC-a. QUIC enkapsulira više niti u jednu vezu, smanjujući broj petlji potrebnih za vezu i time poboljšavajući performanse. Ovo također može biti korisno prilikom prebacivanja između WiFi i mobilnih mreža.

QUIC još uvijek nije široko prihvaćen u usporedbi s drugim protokolima. Ali tvrtke poput Applea, Googlea i Meta već koriste QUIC, često stvarajući vlastite verzije (Microsoft koristi MsQUIC za sav svoj promet malih i srednjih poduzeća), što je dobar slutnja za budućnost.

Očekuje se da će nove tehnologije iz temelja promijeniti način na koji pristupamo webu. Na primjer, mnoge tvrtke sada koriste blockchain tehnologije kako bi ponudile sigurnije protokole za imenovanje domena, kao što su HNS i Unstoppable Domains.