Apa Itu DNS-Over-HTTPS Dan Cara Mengaktifkannya Di Perangkat Anda (Atau Browser)

Kategori: Panduan

Coba Instrumen Kami Untuk Menghilangkan Masalah

Pilih Sistem Operasi Pilih Program Proyeksi (Opsional)

Jelaskan Masalah Anda

DNS-over-HTTPS (Secure DNS) adalah teknologi baru yang bertujuan untuk membuat penjelajahan web aman dengan mengenkripsi komunikasi antara komputer klien dan server DNS.

Standar Internet baru ini sedang diadopsi secara luas. Daftar adopsi termasuk Windows 10 (Versi 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera dan Vivaldi untuk beberapa nama.

Pada artikel ini, kita akan membahas kelebihan dan kekurangan DNS-over-HTTPS dan cara mengaktifkan protokol ini di perangkat Anda.

Kami juga akan membahas cara menguji apakah DoH diaktifkan untuk perangkat Anda atau tidak.

Penjelasan sederhana tentang DNS-over-HTTPS dan cara kerjanya

DNS-over-HTTPS (DoH) adalah protokol untuk mengenkripsi permintaan DNS antara komputer Anda dan Server DNS. Ini pertama kali diperkenalkan pada Oktober 2018 ( IETF RFC 8484 ) dengan tujuan meningkatkan keamanan dan privasi pengguna.

Server DNS tradisional menggunakan port DNS 53 untuk komunikasi sementara DNS-over-HTTPS menggunakan port HTTPS 443 untuk berkomunikasi secara aman dengan klien.

Harap dicatat bahwa meskipun DoH adalah protokol keamanan, itu tidak mencegah ISP melacak permintaan Anda. Ini hanya mengenkripsi data permintaan DNS antara komputer Anda dan ISP untuk mencegah masalah seperti spoofing, serangan man-in-the-middle dll.

Mari kita pahami ini dengan contoh sederhana.

Berikut adalah cara kerja DNS:

Jika Anda ingin membuka nama domain itechtics.com dan memintanya menggunakan browser Anda.
Browser Anda mengirimkan permintaan ke Server DNS yang dikonfigurasi di sistem Anda, mis., 1.1.1.1.
Penyelesai rekursif DNS (1.1.1.1) pergi ke server root dari domain tingkat atas (TLD) (.com dalam kasus kami) dan meminta server nama itechtics.com.
Kemudian server DNS (1.1.1.1) masuk ke server nama itechtics.com dan meminta alamat IP nama DNS itechtics.com.
Server DNS (1.1.1.1) membawa informasi ini ke browser dan browser terhubung ke itechtics.com dan mendapat respons dari server.

Semua komunikasi ini dari komputer Anda ke server DNS ke server DNS TLD ke server nama ke situs web dan kembali dilakukan dalam bentuk pesan teks sederhana.

Itu berarti siapa pun dapat memantau lalu lintas web Anda dan dengan mudah mengetahui situs web apa yang Anda buka.

DNS-over-HTTPS mengenkripsi semua komunikasi antara komputer Anda dan server DNS sehingga lebih aman dan tidak rentan terhadap serangan man-in-the-middle dan spoofing lainnya.

Mari kita pahami ini dengan contoh visual:

Saat klien DNS mengirim kueri DNS ke server DNS tanpa menggunakan DoH:

DNS melalui HTTPS tidak diaktifkan

Saat klien DoH menggunakan protokol DoH untuk mengirim lalu lintas DNS ke server DNS yang diaktifkan DoH:

DNS melalui HTTPS diaktifkan

Di sini Anda dapat melihat bahwa lalu lintas DNS dari klien ke server dienkripsi dan tidak ada yang tahu apa yang diminta klien. Respons DNS dari server juga dienkripsi.

Pro dan Kontra DNS-over-HTTPS

Sementara DNS-over-HTTPS perlahan-lahan akan menggantikan sistem DNS lawas, ia hadir dengan kelebihan dan potensi masalah tersendiri. Mari kita bahas beberapa di antaranya di sini.

DoH tidak mengaktifkan privasi lengkap pengguna

DoH disebut-sebut sebagai hal besar berikutnya dalam privasi dan keamanan pengguna, tetapi menurut saya, itu hanya berfokus pada keamanan pengguna dan bukan pada privasi.

Jika Anda mengetahui cara kerja protokol ini, Anda akan mengetahui bahwa DoH tidak mencegah ISP melacak permintaan DNS pengguna.

Bahkan jika ISP tidak dapat melacak Anda menggunakan DNS karena Anda menggunakan penyedia DNS publik yang berbeda, ada banyak titik data yang masih terbuka bagi ISP untuk dilacak. Sebagai contoh, Kolom Indikasi Nama Server (SNI) dan Koneksi Protokol Status Sertifikat Online (OCSP) dll.

Jika Anda menginginkan privasi lebih, Anda harus memeriksa teknologi lain seperti DNS-over-TLS (DoT), DNSCurve, DNSCrypt, dll.

DoH tidak berlaku untuk kueri HTTP

Jika Anda membuka situs web yang tidak beroperasi menggunakan SSL, server DoH akan kembali ke teknologi DNS lama (DNS-over-HTTP) yang juga dikenal sebagai Do53.

Tetapi jika Anda menggunakan komunikasi yang aman di mana-mana, DoH jelas lebih baik daripada menggunakan teknologi DNS lama dan tidak aman.

Tidak semua server DNS mendukung DoH

Ada sejumlah besar server DNS lama yang perlu ditingkatkan untuk mendukung DNS-over-HTTPS. Ini akan memakan waktu lama untuk diadopsi secara luas.

Sampai protokol ini didukung oleh sebagian besar server DNS, sebagian besar pengguna akan terpaksa menggunakan server DNS publik yang ditawarkan oleh organisasi besar.

Ini akan menyebabkan lebih banyak masalah privasi karena sebagian besar data DNS akan dikumpulkan di beberapa lokasi terpusat di seluruh dunia.

Kerugian lain dari adopsi awal DoH adalah jika server DNS global mati, sebagian besar pengguna yang menggunakan server untuk resolusi nama akan tersandung.

DoH akan memusingkan perusahaan

Sementara DoH akan meningkatkan keamanan, itu akan memusingkan bagi perusahaan dan organisasi yang memantau aktivitas karyawan mereka dan menggunakan alat untuk memblokir bagian web NSFW (tidak aman untuk bekerja).

Admin jaringan dan sistem akan kesulitan mengatasi protokol baru.

Apakah menggunakan DNS-over-HTTPS memperlambat penjelajahan?

Ada dua aspek DoH yang harus dicari saat menguji kinerja terhadap protokol Do53 lawas:

Kinerja resolusi nama
Performa pemuatan halaman web

Kinerja resolusi nama adalah metrik yang kami gunakan untuk menghitung waktu yang diperlukan server DNS untuk memberi kami alamat IP server yang diperlukan dari situs web yang ingin kami kunjungi.

Performa pemuatan halaman web adalah metrik aktual apakah kami merasakan perlambatan saat menjelajah Internet menggunakan protokol DNS-over-HTTPS.

Kedua pengujian ini dilakukan oleh samknows dan hasil akhirnya adalah perbedaan kinerja yang dapat diabaikan antara protokol DNS-over-HTTPS dan protokol Do53 lama.

Anda dapat membaca studi kasus kinerja lengkap dengan statistik di samknows .

Berikut adalah tabel ringkasan untuk setiap metrik yang kami definisikan di atas. (Klik pada gambar untuk tampilan lebih besar)

Tes kinerja resolusi nama Tabel kinerja DoH vs Do53 ISP

Tabel kinerja DoH vs Do53 ISP

Tes kinerja pemuatan halaman web Performa pemuatan halaman web DoH vs Do53

Performa pemuatan halaman web DoH vs Do53

Cara mengaktifkan atau menonaktifkan DNS-over-HTTPS di Windows 10

Windows 10 Versi 2004 akan hadir dengan DNS-over-HTTPS yang diaktifkan secara default. Jadi setelah versi Windows 10 berikutnya dirilis dan Anda meningkatkan ke versi terbaru, tidak perlu mengaktifkan DoH secara manual.

Namun, jika Anda menggunakan Windows 10 Insider Preview, Anda harus mengaktifkan DoH secara manual menggunakan metode berikut:

Menggunakan Windows Registry

Pergi ke Jalankan -> regedit . Ini akan membuka Windows Registry Editor.
Buka kunci registri berikut:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
Klik kanan pada Parameter folder dan pilih Baru -> DWORD (32-bit) Nilai.
Sebut saja AktifkanOtomatisDoh .
Setel nilai entri EnableAutoDoh ke 2 .

Anda harus me-restart komputer agar perubahan diterapkan.

Harap dicatat bahwa perubahan ini akan berlaku hanya ketika Anda menggunakan server DNS yang mendukung DNS-over-HTTPS. Di bawah ini Anda akan menemukan daftar penyedia DNS publik yang mendukung DoH .

Versi Windows 10 sebelumnya termasuk versi 1909 dan 1903 tidak mendukung DoH secara default.

Menggunakan Kebijakan Grup

Saya menyimpan bagian ini untuk penggunaan di masa mendatang. Saat ini, tidak ada aturan kebijakan grup untuk DNS-over-HTTPS. Kami akan mengisi langkah-langkah ketika Microsoft membuatnya tersedia untuk Windows 10 Versi 2004.

Menggunakan PowerShell (Baris perintah)

Saya menyimpan bagian ini untuk penggunaan di masa mendatang. Jika Microsoft menyediakan cara untuk mengaktifkan atau menonaktifkan DoH menggunakan baris perintah, kami akan mencantumkan langkah-langkahnya di sini.

Cara mengaktifkan atau menonaktifkan DNS-over-HTTPS di browser Anda

Beberapa aplikasi mendukung melewati server DNS yang dikonfigurasi sistem dan menggunakan DNS-over-HTTPS sebagai gantinya. Hampir semua browser modern sudah mendukung DoH atau akan mendukung protokol dalam waktu dekat.

Aktifkan DNS-over-HTTPS di Google Chrome

Buka Google Chrome dan buka URL berikut:
chrome://settings/security
Dibawah Keamanan Tingkat Lanjut , aktifkan Gunakan DNS yang aman .
Setelah mengaktifkan DNS aman, akan ada dua opsi:
- Dengan penyedia layanan Anda saat ini
- Dengan penyedia layanan yang direkomendasikan Google

Anda dapat memilih apa pun yang cocok untuk Anda. Opsi kedua akan menggantikan pengaturan DNS sistem Anda.

Aktifkan DNS aman di Google Chrome

Untuk menonaktifkan DoH, cukup aktifkan Gunakan DNS yang aman pengaturan untuk mati .

Aktifkan DNS-over-HTTPS di Mozilla Firefox

Buka Firefox dan pergi ke URL berikut:
about:preferences
Dibawah umum , pergi ke Pengaturan jaringan dan klik pada Pengaturan tombol. Atau cukup tekan tombol DAN tombol keyboard untuk membuka pengaturan.
Gulir ke bawah dan memeriksa Aktifkan DNS melalui HTTPS .
Dari drop-down, Anda dapat memilih server DNS aman pilihan Anda.

Aktifkan DNS-over-HTTPS di Microsoft Edge

Buka Microsoft Edge dan buka URL berikut:
edge://flags/#dns-over-https
Pilih Diaktifkan dari drop-down di samping Pencarian DNS yang aman .
Mulai ulang browser agar perubahan diterapkan.

Aktifkan DNS-over-HTTPS di Opera Browser

Buka browser Opera dan buka Pengaturan (Alt + P).
Mengembangkan Canggih pada menu sebelah kiri.
Di bawah Sistem, aktifkan Gunakan DNS-over-HTTPS alih-alih pengaturan DNS sistem .
Mulai ulang browser agar perubahan diterapkan.

Pengaturan DNS aman tidak berlaku sampai saya menonaktifkan layanan VPN bawaan Opera. Jika Anda mengalami masalah saat mengaktifkan DoH di Opera, coba nonaktifkan VPN.

Aktifkan DNS-over-HTTPS di Vivaldi Browser

Buka browser Vivaldi dan buka URL berikut:
vivaldi://flags/#dns-over-https
Pilih Diaktifkan dari drop-down di samping Pencarian DNS yang aman .
Mulai ulang browser agar perubahan diterapkan.

Cara mengaktifkan DNS-over-HTTPS di Android

Android 9 Pie mendukung pengaturan DoH. Anda dapat mengikuti langkah-langkah di bawah ini untuk mengaktifkan DoH di ponsel Android Anda:

Pergi ke Pengaturan → Jaringan & internet → Lanjutan → DNS Pribadi .
Anda dapat mengatur opsi ini ke Otomatis atau Anda dapat menentukan sendiri penyedia DNS yang aman.

Jika Anda tidak dapat menemukan pengaturan ini di ponsel Anda, Anda dapat mengikuti langkah-langkah di bawah ini:

Unduh dan buka aplikasi QuickShortcutMaker dari Google Play Store.
Buka Pengaturan dan ketuk:
com.android.settings.Settings$NetworkDashboardActivity

Ini akan membawa Anda langsung ke halaman pengaturan jaringan di mana Anda akan menemukan opsi DNS aman.

Bagaimana Anda memeriksa apakah Anda menggunakan DNS-over-HTTPS?

Ada dua cara untuk memeriksa apakah DoH diaktifkan dengan benar untuk perangkat Anda atau browser.

Cara termudah untuk memeriksa ini adalah dengan pergi ke halaman periksa pengalaman menjelajah cloudflare ini . Klik Periksa Peramban Saya tombol.

Di bawah Secure DNS, Anda akan mendapatkan pesan berikut jika Anda menggunakan DoH:|_+_|

Jika Anda tidak menggunakan DoH, Anda akan mendapatkan pesan berikut:|_+_|

Windows 10 Versi 2004 juga memberikan cara untuk memonitor paket port 53 secara real-time. Ini akan memberi tahu kami jika sistem menggunakan DNS-over-HTTPS atau Do53 lawas.

Buka PowerShell dengan hak administratif.
Jalankan perintah berikut:
pktmon filter remove
Ini menghapus semua filter aktif, jika ada.
pktmon filter add -p 53
Ini menambahkan port 53 untuk dipantau dan dicatat.
pktmon start --etw -m real-time
Ini dimulai dengan pemantauan port 53 secara real-time.

Jika Anda melihat banyak lalu lintas ditampilkan dalam daftar, ini berarti Do53 lama digunakan sebagai ganti DoH.

Harap dicatat bahwa perintah yang disebutkan di atas hanya akan berfungsi di Windows 10 Versi 2004. Jika tidak, ini akan memberi Anda kesalahan: Parameter tidak diketahui 'waktu nyata'

Daftar Server Nama yang mendukung DoH

Berikut adalah daftar penyedia layanan DNS yang mendukung DNS-over-HTTPS.

Pemberi	Nama host	Alamat IP
AdGuard	dns.adguard.com	176.103.130.132 176.103.130.134
AdGuard	dns-family.adguard.com	176.103.130.132 176.103.130.134
Penjelajahan Bersih	family-filter-dns.cleanbrowsing.org	185.228.168.168 185.228.169.168
Penjelajahan Bersih	dewasa-filter-dns.cleanbrowsing.org	185.228.168.10 185.228.169.11
Cloudflare	satu.satu.satu.satu 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Cloudflare	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Cloudflare	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
BerikutnyaDNS	dns.nextdns.io	45.90.28.0 45.90.30.0
OpenDNS	dns.opendns.com	208.67.222.222 208.67.220.220
OpenDNS	familyshield.opendns.com	208.67.222.123 208.67.220.123
OpenDNS	sandbox.opendns.com	208.67.222.2 208.67.220.2
Quad9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149.112.112,112

Meskipun DNS-over-HTTPS membuat web lebih aman dan harus diterapkan secara seragam di seluruh web (seperti dalam kasus HTTPS), protokol ini akan memberikan mimpi buruk bagi sysadmin.

Sysadmin perlu menemukan cara untuk memblokir layanan DNS publik sambil mengaktifkan server DNS internal mereka untuk menggunakan DoH. Ini perlu dilakukan untuk menjaga peralatan pemantauan saat ini dan kebijakan pembatasan aktif di seluruh organisasi.

Jika saya melewatkan sesuatu dalam artikel, beri tahu saya di komentar di bawah. Jika Anda menyukai artikel ini dan mempelajari sesuatu yang baru, silakan bagikan dengan teman dan media sosial Anda dan berlangganan buletin kami.