DNS over TLS ( DoT ) er en sikkerhedsprotokol til kryptering og indkapsling af Domain Name System (DNS ) forespørgsler og svar via Transport Layer Security (TLS ) protokollen . Formålet med metoden er at øge brugernes fortrolighed og sikkerhed ved at forhindre aflytning og manipulation af DNS-data gennem man-i-midten-angreb .
I 2020 CloudFlare , Quad9 , Google , Quadrant Information Security, CleanBrowsing , LibreOps, DNSlify Telsy (det) , AdGuard og Digitalcourage tilbudt en offentlig DNS resolver med DNS over TLS-teknologi.
I april 2018 meddelte Google, at Android Pie ville understøtte denne teknologi, så brugerne kunne oprette forbindelse til en DNS-server både via Wi-Fi og mobilforbindelse, en mulighed, der indtil nu kun var mulig for brugere, der har rodfæstet. Deres telefon. DNSDist fra PowerDNS annoncerede også support til teknologien i version 1.3.0. BIND- brugere kan også bruge DoT ved hjælp af en proxy med stunnel . Ubundet har støttet DoT siden 22. januar 2018. Unwind har støttet DoT siden 29. januar 2019. Med teknologisupport fra Android Pie og højere understøtter annonceblokkere også brugen af denne krypterede protokol.
Mange offentlige rekursive servere understøtter DoT, men der kræves ofte klientsystemer for at registrere.
Android-klienter, der kører Android 9 (Pie) eller nyere, understøtter DNS via TLS.
Brugere af Linux og Windows kan bruge DNS som TLS-klient gennem dæmonen Stubby NLnet Labs Labs eller Knot Resolver. De kan også installere getdns-utils for at bruge DoT direkte med getdns_query-værktøjet. NLnet Labs Ubundet DNS Resolver understøtter også DNS via TLS.
Apples iOS 14 introducerede understøttelse af DoT (og DNS over HTTPS) på operativsystemniveau. iOS tillader ikke manuel konfiguration af DoT-servere og kræver brug af et tredjepartsprogram til at foretage konfigurationsændringer.
Systemd-resolved er en Linux-implementering, der kan konfigureres til at bruge DNS over TLS ved at redigere /etc/systemd/resolved.confog aktivere indstillingen DNSOverTLS. De fleste af de store Linux-distributioner er systeminstalleret som standard.
PersonalDNSfilter er et open source DNS-filter, der understøtter DoT og DoH ( DNS over HTTPS ) til Java-aktiverede enheder, inklusive Android.
Nebulo er en Open Source-applikation til ændring af DNS-konfiguration til Android og understøtter DoT og DoH.
DoT kan hæmme analysen og overvågningen af DNS-trafik til cybersikkerhedsformål. DoT blev brugt til at omgå forældrekontrol, der fungerer på standard DNS-niveau (ukrypteret); Circle, en forældrekontrolrouter, der er afhængig af DNS-forespørgsler for at kontrollere domæner mod en blokliste, blokerer DoT som standard af denne grund. Der er dog DNS-udbydere, der tilbyder filtrering og forældrekontrol samt support til DoT og DoH. I dette scenarie kontrolleres DNS-forespørgsler mod blocklisterne, efter at de er modtaget af udbyderen, snarere end før de forlader brugerens router.
Kryptering i sig selv beskytter ikke privatlivets fred, kryptering er simpelthen en metode til at skjule data.
DoT-klienter forespørger ikke direkte på en autoritativ navneserver. I stedet er klienten afhængig af DoT-serveren ved hjælp af traditionelle forespørgsler (port 53 eller 853) for endelig at nå de autoritative servere. Således kvalificerer DoT sig ikke som en ende-til-ende-krypteret protokol , kun hop-til-hop-krypteret, og kun hvis DNS over TLS bruges konsekvent.