TIP#1566: Co je to DNS over HTTPS a jak (a proč) to zapnout?

DNS over HTTPS je cesta jak více chránit soukromí při brouzdání na Internetu, tedy při používání prohlížeče. Funguje tak, že požadavky na DNS (jmenné servery) nechodí klasickou cestou, ale přes HTTPS komunikaci – začnou být šifrované a nikdo cestou (třeba váš poskytoval připojení k Internetu) je nemůže odchytávat. Čímž se chráníte proti jedné z metod šmírování – profilaci uživatele podle toho na které weby chodí.

Klasické DNS totiž není nijak šifrované, všechno co se v rámci dotazů na jmenné servery přenáší (tam i zpět) je čitelné a tím pádem i odchytitelné a zpracovatelné. Co navíc, je tam snadné podvrhovat IP adresy – DNS over HTTPS vás může chránit i před tímto druhém útoku.

Aby DNS over HTTPS bylo použitelné je nutné aby vámi používány DNS server tuto funkčnost podporoval – umí to Cloudflare, Google Public DNS i OpenDNS a samozřejmě i různé další – nic ale nebráni tomu, abyste začali používat některý z těchto tří.

Potřebujete ale také aby to podporoval prohlížeč – v testovací podobě se to objevilo v Google Chrome, umí to i Mozilla Firefox. Microsoft plánuje podporu dokonce na úrovní DNS ve Windows. Prozatím to ale možné není, takže jediné kde to můžete aktivovat je v prohlížeči. Apple prozatím o podpoře v Safari nic neuvedlo.

2020-03-04 17_24_41-Experiments.png

V Chrome aktuálně musíte do chrome://flags/#dns-over-https kde najdete možnost zapnout Secure DNS Lookups a stačí zvolit Enabled/Povoleno. Bude nutné restartovat prohlížeč.

2020-03-04 17_27_19-Options.png

Ve Firefoxu zajděte do Menu -> Options -> General kde pak v Network Settings (uplně dole) najdete Settings  – pak už jen stačí zaškrtnou Enable DNS over HTTPS. Plus tam můžete vybrat poskytovatele pokud nechcete výchozího, tedy 1.1.1.1 od CloudFlare.

Pozor na jednu maličkost. Pokud povolíte DNS over HTTPS v prohlížeči tak to nemá vliv na nic jiného, než prohlížeč. Počítač, mobil či tablet stále budou používat klasické DNS. Jakékoliv další programy či aplikace také budou používat klasické DNS.

Další možnosti ochrany