DNS over HTTPS nedir? DNS over TLS ile DNS over HTTPS farkları nelerdir?
DNS sorguları düz metin (plaintext) olarak gönderilir. Bu durum, verileri herkesin okuyabileceği anlamına gelir. DNS over HTTPS ve DNS over TLS protokolleri, kullanıcının internette dolaşmasını gizli ve güvenli tutmak için DNS sorgularını ve yanıtlarını şifrelemektedir. Bununla birlikte, her iki yaklaşımın da artıları ve eksileri bulunmaktadır.
DNS neden ek güvenlik katmanlarına ihtiyaç duyar?
DNS, adeta İnternetin telefon rehberidir. DNS çözümleyicileri, insanlar tarafından okunabilen alan adlarını (Ör: www.technopat.net), makineler tarafından okunabilen IP adreslerine çevirir. Varsayılan olarak, DNS sorguları ve yanıtları düz metin olarak (UDP aracılığıyla) gönderilir: Bu durum verilerinizin farklı ağlar, İSS’ler veya sorgularınızı izleyebilen herkes tarafından okunabileceği anlamına gelir. Bir web sitesi HTTPS protokolü kullansa bile, o web sitesine ulaşmak için gereken DNS sorgusu, güvenli ve şifrelenmiş olmayabilir.
Bu gizlilik eksikliği, güvenlik ve bazı özel durumlarda, insan hakları üzerinde büyük bir etkiye sahiptir. DNS sorguları gizli değilse, hükümetlerin interneti sansürlemesi ve saldırganların ya da kötü niyetli kişilerin, kullanıcıların çevrimiçi davranışlarını takip etmesi daha kolay hale gelir.
Normal, şifrelenmemiş bir DNS sorgusunu; postayla gönderilen bir kartpostal gibi düşünebilirsiniz. Postayla ilgilenen herhangi biri, kartpostalın arka tarafında yazılı metne göz atabilir. Bu nedenle, hassas veya özel bilgiler içeren bir kartpostal postalamak, akıllıca bir hareket olmaz.
DNS over TLS ve DNS over HTTPS, kötü niyetli kişilerin, reklamverenlerin, İSS’lerin ve zararlı insanların, verilere erişmesini ve yorumlamasını önlemek amacıyla, düz metin (plaintext) DNS trafiğini şifrelemek için geliştirilmiş iki farklı protokoldür. Benzetmemize devam edersek, bu standartlar postadan geçen tüm kartpostalların etrafına bir zarf koyar, böylece kartpostal gönderecek herhangi biri, kartpostalında yazanların yabancılar tarafından okunmasından endişe etmeyecektir. Veri güvenliği ve gizliliği bu yolla sağlanmış olur.
DNS over TLS nedir?
DNS over TLS veya DoT, DNS sorgularını güvenli ve gizli tutmak için geliştirilmiş bir şifreleme standardıdır. DoT, HTTPS web sitelerinin, iletişimleri şifrelemek ve doğrulamak için kullandığı TLS ile aynı güvenlik protokolünü kullanır. (TLS, “Secure Sockets Layer“, SSL olarak da bilinir.) DoT, DNS sorguları için kullanılan UDP (User Datagram Protocol) protokolü üzerine TLS şifrelemesini entegre etmektedir. Ek olarak, DNS isteklerinin ve yanıtlarının, yol üzerinde saldırılarla değiştirilmemesini veya sahteciliğe maruz kalmamasını da sağlamaktadır.
DNS over HTTPS nedir?
DNS over HTTPS veya DoH, DoT standartına alternatif niteliğindedir. DoH ile DNS sorguları ve yanıtları şifrelenir, ancak doğrudan UDP yerine HTTP veya HTTP/2 protokolleri aracılığıyla gönderilmektedir. DoT gibi DoH, saldırganların DNS trafiğini taklit edememesini veya değiştirememesini sağlamaktadır. DoH trafiği, bir ağ yöneticisinin bakış açısından bakılırsa, diğer HTTPS trafiğine (Ör: web siteleri ve web uygulamalarıyla normal kullanıcı odaklı etkileşimler) oldukça benzemektedir.
Şubat 2020’de, Mozilla Firefox tarayıcısı ABD’de bulunan kullanıcılar için varsayılan olarak DoH’yi etkinleştirmeye başladı. Firefox tarayıcısından DNS sorguları DoH tarafından şifrelenmekte ve Cloudflare veya NextDNS‘ye gitmektedir. Başka tarayıcılar da, DoH’ye destek vermektedir, ancak bu özellik, varsayılan olarak kapalı halde gelmektedir.
HTTPS de şifreleme için TLS kullanıyorsa, DNS over TLS ve DNS over HTTPS farkı nedir?
Her standart ayrı ayrı geliştirilmiştir ve kendi RFC* (Request for Comments) belgelerine sahiptir, ancak DoT ile DoH arasındaki en önemli fark, hangi bağlantı portunu kullandıklarında yatmaktadır. DoT yalnızca 853 numaralı bağlantı portunu kullanırken; DoH, diğer tüm HTTPS trafiğinin de kullanmakta olduğu bağlantı portu olan 443 numaralı portu kullanmaktadır.
DoT’nin özel bir bağlantı portu olduğundan, ağ görünürlüğüne sahip olan herkes, isteklerin ve yanıtların kendileri şifrelenmiş olsa bile, DoT trafiğinin gelip gittiğini görebilirler. Aksine, DoH ile DNS sorguları ve yanıtları, hepsi aynı bağlantı noktasından gelip gittiği için diğer HTTPS trafiği içinde kendiliğinden kamufle olur.
*RFC, “Yorumlar İçin Talep” anlamına gelir. Geliştiriciler, ağ uzmanları ve fikir liderlerinin bir İnternet teknolojisini veya protokolünü standartlaştırmak için ortak bir girişimini temsil eder. Detaylı bilgi için: RFC
Port nedir?
Ağ oluşturmada bağlantı portları, bir makinedeki, başka diğer makinelerden bağlantılara açık olan sanal kapılardır. Ağa bağlı her bilgisayarın standart sayıda bağlantı portu vardır ve her bağlantı portu belirli iletişim türleri için ayrılmış vaziyettedir.
Bir limandaki gemiler için ayrılmış iskeleleri düşünebilirsiniz. Her iskelenin bir numarası vardır ve farklı türdeki gemilerin, kargo veya yolcuları boşaltmak için belirli iskelelere gitmesi gerekir.
Ağdaki iletişim de aynı şekilde işlemektedir. Belirli iletişim türlerinin, belirli ağ bağlantı noktalarına gitmesi beklenir. Aradaki fark, ağ bağlantı noktalarının sanal olmasıdır; fiziksel bağlantılar yerine dijital bağlantılar için oluşturulmuşlardır.
DNS over HTTPS ve DNS over TLS: Hangisi daha iyi?
Bu, oldukça tartışmaya açık bir konudur. Ağ güvenliğini baz aldığımızda, DoT tartışmasız daha iyidir. Ağ yöneticilerine, kötü amaçlı trafiği tanımlamak ve durdurmak için önemli olan DNS sorgularını izleme ve engelleme yeteneği sağlar. Bunun yanında DoH sorguları, normal HTTPS trafiğinin içinde kaybolmuş durumdadır. Yani tüm HTTPS trafiğini engellemeden, DoH trafiğini kolayca engelleyemezsiniz.
Bununla birlikte, gizlilik açısından bakıldığında, DoH tartışmalı bir şekilde tercih edilebilir. Tartışmalı, zira DoH ile DNS sorguları, HTTPS trafiğinin oldukça büyük akışı içinde gizlenebilirler. Bu, ağ yöneticilerine daha az görünürlük, kullanıcılara ise daha fazla gizlilik sağlar.
DoT ve DoH ile DNSSEC arasındaki fark nedir?
DNSSEC, DNS çözücüleriyle iletişimde olan DNS root sunucularının ve yetkili ad sunucularının kimliğini doğrulamak için kullanılan bir dizi güvenlik uzantısıdır. Diğer saldırıların yanı sıra DNS önbellek zehirlenmesini önlemek için tasarlanmıştır. İletişimi şifrelemezler. Bunun yerine, DoT ve DoH sorgularını şifreler. Örneğin 1.1.1.1 DNS sunucusu, DNSSEC’yi de desteklemektedir.
