DNS over HTTPS'in faydası nedir?

Aklıma bir soru takıldı. DNS over HTTPS'in bize faydası nedir? İşte DNS sorgularınız da gizleniyor falan diyebilirsiniz ilk başta ama anlamadığım nokta şu; Herhangi bir DNS sorgusunda servis hariç kimse görmeyecek tamam ancak sonucunda aldığımız IP adresine bir istekte bulunacağız, her halükarda pakette destination IP açık olmak zorunda ve ağı izleyen bir saldırgan bu sefer de bunu görebilir ve sonuç olarak IP'den de domain bulunabiliyor. Yani DNS sorgumuzu gizleyerek elimize ne geçti? Herhangi bir güvenlik sağlamadı bize. Ağı izleyen biri yine hangi siteleri ziyaret ettiğimizi görebilecek.
Ben mi yanlış özetliyorum durumu?

Normal DNS ile ISP'ne bir sorgu yaptığında ISP bu sorguyu görüyor ve siteye girmeni engelleyebiliyor. DoH ise girmek istediğin siteyi şifrelediğinden ISP bu siteği engelleyemiyor. Mesela hiçbir VPN kullanmadan ülkemizde yasaklı olan Pastebin'e girebilirsiniz DoH ile.

Başka bir avantajı da DNS sorgularının başkaları tarafından yanlış yönlendirilmesinin önüne geçmek.

Lord Raiden dedi:

Başka bir avantajı da DNS sorgularının başkaları tarafından yanlış yönlendirilmesinin önüne geçmek.

Genişletmek için tıkla...

Anladım, sanırım SSL ile bağlandığımızda DNS üzerinden MITM'e kurban gitmediğimizi teyit etmiş oluyoruz bir taraftan. Mantıklıymış. O zaman halka açık mekanlarda DoH kullanmanın da bir ayrı önemi oluyor. Faydası gizlilikten çok güvenli bir bağlantı sunması o zaman. Bu kadar basit bir mantığı nasıl gözden kaçırdıysam. Teşekkürler.

DoH'un güvenlik açısından o kadar fazla bir önemi yok zira istekte bulunduğun site ile karşı taraftan aldığın sertifikalar uyuşmazsa tarayıcı uyarı veriyor.

acv dedi:

DoH'un güvenlik açısından o kadar fazla bir önemi yok zira istekte bulunduğun site ile karşı taraftan aldığın sertifikalar uyuşmazsa tarayıcı uyarı veriyor.

Genişletmek için tıkla...

Burada olay bambaşka bir siteye yönlendirilmemek zaten. Başka siteye güvenli bağlantı değil. DNS'e güvenli bağlantı. Sen DNS'den google.com istersin o sana gidip facebook.com ip'si verir ve istemediğin bir siteye sokmuş olur. Bunu engellemek için DoH işte, DoH ile tam olarak dediğin şeyi dns sorgusunda yaşıyorsun.
Güvenlik derken böyle düşünüp güvenlik sunuyor demiştim.

Nereqla dedi:

Burada olay bambaşka bir siteye yönlendirilmemek zaten. Başka siteye güvenli bağlantı değil. DNS'e güvenli bağlantı. Sen DNS'den google.com istersin o sana gidip facebook.com ip'si verir ve istemediğin bir siteye sokmuş olur. Bunu engellemek için DoH işte, DoH ile tam olarak dediğin şeyi dns sorgusunda yaşıyorsun.

Genişletmek için tıkla...

URL barına yazdığın alan adıyla sertifikaya kayıtlı alan adları uyuşmayacağı için HSTS belirteci varsa bambaşka bir siteye yönlendirilmen mümkün değil.

acv dedi:

URL barına yazdığın alan adıyla sertifikaya kayıtlı alan adları uyuşmayacağı için HSTS belirteci varsa bambaşka bir siteye yönlendirilmen mümkün değil.

HTTP Strict Transport Security - Wikipedia

en.wikipedia.org

Genişletmek için tıkla...

Anlıyorum, bu güzel bir bilgi oldu. O zaman düşündüğüm şey yanlış. Aslında Network öğrenmek istiyorum ama bu tarz ufak sorulara takıla takıla pek bir yere varamadım zaman içinde. Teşekkürler.