What Is DNS Over HTTPS – Selitys, Edut ja Käyttöönotto
DNS over HTTPS (DoH) on protokolla, joka siirtää nimipalvelukyselyt HTTPS-salauksen suojaan. Se kapseloi perinteiset DNS-tiedot salattuun yhteyteen, estäen ulkopuolista pääsyä selailutietoihin. IETF julkaisi standardin RFC 8484:nä lokakuussa 2018.
Tekniikka vastaa kasvavaan tarpeeseen suojata käyttäjien yksityisyyttä verkkoliikenteessä. Perinteinen DNS lähettää kyselyt avoimena tekstinä, mikä altistaa ne salakuuntelulle ja manipuloinnille.
Nykyään suurimmat selainvalmistajat ovat ottaneet DoH:n osaksi tuotteitaan, vaikka sen käyttöönotto onkin herättänyt keskustelua verkonhallinnasta.
Mikä on DNS over HTTPS?
DNS-kyselyt HTTPS:n kautta
Yksityisyys ja turvallisuus
443
IETF RFC 8484
- DoH kätkee DNS-kyselyt tavalliseen HTTPS-liikenteeseen, mikä tekee niistä ulkopuolisille näkymättömiä
- Protokolla käyttää porttia 443, joka on sama kuin vakio-HTTPS-trafiikilla
- Salauksen taso vastaa pankkien ja muiden kriittisten palveluiden käyttämää suojausta
- Käyttöönotto onnistuu suoraan selainasetuksista ilman järjestelmätason muutoksia
- DoH voi ohittaa perinteiset sisältösuodattimet, mikä aiheuttaa ristiriitoja verkko-operaattoreiden kanssa
- Laajennus ODoH (RFC 9230) erottaa IP-osoitteen kyselystä lisäsuojana
- Protokolla toimii sovelluskerroksella toisin kuin DNS over TLS
| Ominaisuus | Perinteinen DNS | DNS over HTTPS |
|---|---|---|
| Salaus | Ei | Kyllä (HTTPS) |
| Portti | 53 | 443 |
| Yksityisyys | Matala | Korkea |
| Liikenteen näkyvyys | Avoin teksti | Salattu |
| Man-in-the-middle -suoja | Ei | Kyllä |
| Käyttöönotto | Järjestelmätasoinen | Sovellustasoinen |
| ISP:n näkyvyys | Täysi | Rajoitettu |
| Palomuurisuodatus | Helppo | Vaikea |
Kuinka DNS over HTTPS toimii?
Tekninen toteutus
DoH kapseloi DNS-kyselyt ja -vastaukset HTTPS-payloadiin käyttäen MIME-tyyppiä application/dns-message. Cloudflare ja muut tarjoajat suosittelevat HTTP/2:n tai uudemman käyttöä suorituskyvyn takaamiseksi.
Selain lähettää salatun kyselyn DoH-yhteensopivalle resolverserverille portin 443 kautta. Tämä liikenne sulautuu tavalliseen verkkoselailuun, eikä erotu ulospäin muusta HTTPS-trafiikista.
Resolveri palauttaa vastaukset salatusti, mikä estää man-in-the-middle-hyökkäykset ja DNS-spoofingin. Heimdal Security huomauttaa, että tämä suojaa myös tietojenkalasteluyrityksiltä.
Kun DoH on aktiivisena, internetpalveluntarjoaja ei voi nähdä millä verkkosivuilla käyttäjä vierailee, koska DNS-kyselyt kulkevat saman salatun tunnelin kautta kuin varsinainen sivun lataus.
Portti ja yhteydet
Protokolla käyttää oletusarvoisesti porttia 443, joka on standardi kaikelle salatulle verkkoliikenteelle. Tämä tekee DoH:sta vaikeammin havaittavan palomuuritasolla kuin perinteisen DNS:n portin 53.
Mitkä ovat DNS over HTTPS:n edut?
Yksityisyyden paraneminen
DoH piilottaa DNS-kyselyt internetpalveluntarjoajilta, julkisilta Wi-Fi-verkoilta ja mahdollisilta hyökkääjiltä. DNSFilter korostaa, että salattu HTTPS-liikenne estää profiloinnin perustuen vierailluille sivustoille.
Turvallisuusvaikutukset
Protokolla suojaa manipuloinnilta ja väärentämiseltä. A10 Networks huomioi, että DoH vähentää haittaohjelmien ja sensuurihyökkäysten riskiä, koska liikennettä ei voi helposti ohjata haitallisille sivustoille.
Helppo käyttöönotto
Standardin portin 443 käyttö tarkoittaa, että DoH toimii useimmissa verkoissa ilman erityismäärityksiä. Käyttäjät voivat ottaa sen käyttöön suoraan selaimen asetuksista.
DoH toimii pääasiassa selainten tasolla, ei välttämättä koko käyttöjärjestelmän kattavasti. Tämä tarkoittaa, että muut sovellukset saattavat edelleen käyttää perinteistä DNS:ää.
DNS over HTTPS vs. DNS over TLS
Molemmat protokollat salaavat DNS-liikenteen, mutta eroavat toteutustavassaan. Asiantuntijalähteet listaavat merkittävimmät erot:
| Ominaisuus | DoH | DoT |
|---|---|---|
| Portti | 443 (HTTPS) | 853 (TLS) |
| Liikenteen näkyvyys | Piiloutuu HTTPS:ään, vaikea valvoa | Näkyvä erillisellä portilla, helpompi hallita |
| Käyttöönotto | Sovelluskohtainen (selaimet) | Järjestelmä- tai verkkotasoinen |
| Bypass-riski | Korkea (käyttäjä voi vaihtaa) | Matala (järjestelmämuutos vaaditaan) |
| Parhaaksi soveltuva | Kuluttajat, yksityisyys | Yritykset, valvonta |
DoH toimii sovelluskerroksella (OSI-malli 7), kun taas DoT kuljetuskerroksella. Tämä tekee DoH:sta joustavamman kuluttajakäytössä, mutta haastavamman hallita yritysympäristöissä.
Kuinka otan DNS over HTTPS:n käyttöön?
Firefox-selain
Mozilla Firefox tarjoaa DoH:n suoraan asetuksissa. Polku: Asetukset > Yksityisyys ja turvallisuus > DNS-yli-HTTPS. Käyttäjä voi valita tarjoajaksi esimerkiksi Cloudflaren tai mukautetun palvelimen.
Google Chrome
Chromessa toiminto löytyy kohdasta Asetukset > Tietosuoja ja turvallisuus > Käytä suojattua DNS:ää. Google tarjoaa oman DoH-palvelunsa osoitteessa dns.google/dns-query.
Palveluntarjoajat
Cloudflare tarjoaa 1.1.1.1-palvelunsa DoH-versiona osoitteessa https://1.1.1.1/dns-query. Tuki kattaa HTTP/2 ja HTTP/3 -protokollat. Edistynyt käyttäjä voi minimoida HTTP-headereitä ja hyödyntää EDNS-paddingia yksityisyyden parantamiseksi.
DoH:n käyttöönotto voi estää yritysten sisältösuodatuksen toimimasta, koska salattu liikenne ei erotu muusta HTTPS-trafiikista. Järjestelmänvastaava ei voi helposti valvoa tai rajoittaa DNS-kyselyjä.
DoH-protokollan kehityskaari
Protokollan historia alkaa yhteistyöstä suurten teknologiayritysten kesken:
- : Google ja Cloudflare esittävät ensimmäiset ehdotukset DNS-salauksen parantamiseksi.
- : IETF julkaisee RFC 8484-standardin. Dokumentti määrittelee DoH:n proposed standardiksi.
- : IETF ajaa standardia eteenpäin verkkohyökkäysten kasvun vuoksi. Tarve suojata DNS-reitti tulee kriittiseksi.
- : Firefox ottaa DoH-tuen käyttöön osassa markkinoita.
- : Chrome tarjoaa DoH:n opt-in -ominaisuutena.
- : RFC 9230 julkaistaan. Se määrittelee ODoH:n (Oblivious DoH) kokeelliseksi standardiksi, joka erottaa kysyjän IP-osoitteen itse kyselystä.
- : Kehitys jatkuu laajana käyttöönottona selaimissa ja palveluissa.
Varmat tiedot ja epävarmuudet
| Varmat faktat | Epäselvä vaikutus |
|---|---|
| RFC 8484 on virallinen IETF-standardi lokakuulta 2018 | Laaja levinneisyys ISP-palveluissa vaihtelee maittain |
| Portti 443 on standardisoitu DoH-liikenteelle | Pitkän aikavälin vaikutus verkonhallintamalleihin |
| Salauksen taso vastaa pankkisuojauksia | Regulatiivinen asema eri juridisdiktioissa |
| Firefox ja Chrome tukevat protokollaa natiivisti | Tarkat käyttäjämäärät Suomessa |
Tausta ja merkitys
DNS over HTTPS syntyi vastauksena perinteisen DNS:n tietoturva-aukkoon. Kun käyttäjä avaa verkkosivun, laitteen täytyy kysyä IP-osoitetta nimipalvelimelta. Perinteisessä mallissa tämä kysely kulkee avoimena tekstinä, mahdollistaen sekä salakuuntelun että vastausten manipuloinnin.
Protokolla liittyy laajempaan keskusteluun digitaalisesta yksityisyydestä ja GDPR-asetuksen noudattamisesta. Marimekko Muki 4 dl – Koko, Hinta, Kuviot ja Ostospaikat osoittaa, kuinka tekninen arkkitehtuuri vaikuttaa jokapäiväiseen digitaaliseen elämään.
Samalla DoH herättää jännitteitä verkonhallinnan ja käyttäjien autonomian välillä. Operaattorit menettävät näkyvyyden asiakkaidensa verkkokäyttäytymiseen, mikä hankaloittaa sekä haitallisen liikenteen estämistä että laillisten suodatusvelvoitteiden toteuttamista.
Lähteet ja asiantuntijanäkemykset
DNS over HTTPS (DoH) on suunniteltu estämään eavesdroppingin, man-in-the-middle-hyökkäykset ja DNS-injektion salauksella.
— Heimdal Security, tekninen analyysi
DoH kätkee DNS-kyselyt HTTPS:ään, tehden niistä vaikeasti valvottavia perinteisin verkkotyökaluin.
— A10 Networks, verkkoturvallisuusglossaari
Yksityisyys paranee, kun kyselyt eivät näy internetpalveluntarjoajalle tai verkko-operaattoreille.
— DNSFilter, tekninen dokumentaatio
Yhteenveto
DNS over HTTPS tarjoaa merkittävän parannuksen verkkoyksityisyyteen salaamalla nimipalvelukyselyt. Protokolla toimii sovellustasolla, on helppo ottaa käyttöön suurimmissa selaimissa, mutta vaatii harkintaa yritysympäristöissä sen ohitusominaisuuksien vuoksi. Kehitys jatkuu Oblivious DoH:n myötä, joka lupaa vielä korkeamman anonimiteetin. Teknologia on siirtynyt kokeiluvaiheesta vakiintuneeksi suojauskeinoksi. Death Stranding 2 – Julkaisupäivä, trailerit ja faktat muistuttaa, kuinka nopeasti digitaaliset infrastruktuurit kehittyvät.
Usein kysytyt kysymykset
Voiko DoH:n käyttää mobiililaitteilla?
Kyllä, mutta pääasiassa selainsovellusten kautta. Android ja iOS eivät natiivisti tue DoH:ta koko järjestelmän laajuisesti samalla tavalla kuin työasemat.
Onko DNS over HTTPS laillinen Suomessa?
Kyllä, protokolla on laillinen. Se on standardoitu IETF:n toimesta eikä rajoita laillista verkkokäyttöä.
Hidastaako DoH internetyhteyttä?
Mahdollisesti vähän. Ulkoiset resolvert lisäävät latenssia millisekunteja, mutta käyttäjä ei yleensä huomaa eroa.
Voiko työnantaja estää DoH:n käytön?
Vaikeasti, koska liikenne sekoittuu HTTPS:ään. Tiukat palomuurit voivat kuitenkin estää tunnettujen DoH-palvelinten osoitteet.
Mitä eroa on Cloudflaren ja Googlen DoH-palveluilla?
Molemmat noudattavat RFC 8484:ää, mutta tietosuojakäytännöt ja palvelinlokaatiot eroavat. Cloudflare lupaa olla kirjaamatta kyselyitä.
Tarvitseeko DoH:n käyttöön erityistä ohjelmistoa?
Ei välttämättä. Firefox ja Chrome sisältävät tuen natiivisti. Järjestelmätason käyttö vaatii usein kolmannen osapuolen sovelluksen.
Suojaaako DoH kaikelta seurannalta?
Ei kokonaan. Vaikka ISP ei näe DNS-kyselyjä, sivustot näkevät silti vierailut ja IP-osoitteen.
Lisaa liittyvia artikkeleita
Tottakai vai totta kai: Oikeinkirjoitus selitettynä
Shop Laptops On Sale – 25–38 % Alennukset Kannettaviin 2025
Kuntavaalit tulokset 2025 – reaaliaikainen tulospalvelu
Mikä on vuokrasopimus? Merkitys, osat, tyypit ja haitat
Death Stranding 2 – Julkaisupäivä, trailerit ja faktat
Kompostoinnin dos ja don’tsit: Mitä laittaa kompostiin?
Marita Paasonen ikä – Heikki Paasosen vaimon tausta ja perhe
Mistä seurata pörssisähkön hintaa – Parhaat sivustot ja sovellukset
