DNS-versleuteling met behulp van DNS via HTTPS

Traditionele DNS maakt gebruik van niet-versleutelde UDP- of TCP-berichten op poort 53, waarmee DNS-verkeer wordt blootgesteld aan passieve bewaking, verkeersanalyse en actieve manipulatie door aanvallers. DNS-versleuteling beschermt DNS-query- en antwoordverkeer tegen waargenomen, gewijzigd of gemanipuleerd tijdens de overdracht via een netwerk.

DNS via HTTPS (DoH) is een op standaarden gebaseerd mechanisme dat DNS-verkeer versleutelt door DNS-berichten binnen HTTPS in te kapselen, vertrouwelijkheid en integriteit te bieden met behulp van Transport Layer Security (TLS). Door DNS-verkeer te versleutelen, helpt DoH om afluisteren, man-in-the-middle-aanvallen en onbevoegde inspectie van DNS-query's en -antwoorden te voorkomen.

Hoe DNS via HTTPS werkt

DNS via HTTPS wijzigt niet het fundamentele DNS-query- en antwoordmodel. In plaats daarvan wordt gewijzigd hoe DNS-berichten worden overgebracht via het netwerk. Wanneer u DoH inschakelt op een DNS-server, wordt DoH een extra versleutelde communicatieoptie en blijft de DNS-server traditionele DNS-query's beantwoorden, tenzij u deze mogelijkheid expliciet uitschakelt.

Wanneer u DoH inschakelt:

  • De DNS-server luistert naar HTTPS-verkeer.

  • U configureert een doH-compatibele client (zoals een Windows 11-client) voor het gebruik van versleutelde query's naar een DNS-server.

  • De DoH-client brengt een TLS-verbinding tot stand met de DNS-server.

  • De client verzendt DNS-query's binnen een HTTPS-aanvraag.

  • De DNS-server verwerkt de query zoals gebruikelijk.

  • Het DNS-antwoord wordt geretourneerd in het HTTPS-antwoord.

DNS via HTTPS voor DNS-server

Vanaf de beveiligingsupdate 2026-06 (KB5094125) voor Windows Server 2025 kunt u DNS via HTTPS (DoH) inschakelen op de DNS Server-service om DNS-verkeer tussen doH-compatibele clients en uw DNS-server te versleutelen.

Een voorbeeld van de DoH-communicatiestroom is zoals weergegeven in het volgende diagram.

Diagram met de DNS via HTTPS-communicatiestroom tussen een client en server.

Houd rekening met de volgende punten wanneer u DNS via HTTPS voor DNS-server configureert:

  • Upstream DNS-communicatie (doorstuurservers, voorwaardelijke doorstuurservers, gezaghebbende servers) blijft niet versleuteld.

  • DNS-zoneoverdrachten blijven niet versleuteld.

  • Dynamische DNS-updates blijven standaard niet versleuteld.

  • U kunt geen DNS-queryfilter maken dat alleen overeenkomt met DoH-query's.

  • Beleidsregels met een Transport Protocol-queryfilter komen niet overeen met DoH-query's. Een beleid waarbij het transportprotocolfilter is ingesteld op EQ, TCP, komt bijvoorbeeld niet overeen met DoH.

Beveiligingsvoordelen van DNS via HTTPS

DNS via HTTPS biedt de volgende beveiligings- en privacyvoordelen:

  • Vertrouwelijkheid. DNS-query's en -antwoorden worden versleuteld, waardoor passieve bewaking wordt voorkomen.

  • Integriteit. TLS beveiligt DNS-berichten tegen wijziging tijdens de overdracht.

  • Authentication. DNS-clients kunnen de identiteit van de DNS-server valideren met behulp van standaard-HTTPS-certificaatvalidatie.

  • Weerstand tegen verkeersanalyse. DNS-verkeer wordt gecombineerd met ander HTTPS-verkeer, waardoor de blootstelling aan DNS-specifieke filtering of manipulatie wordt verminderd. Deze aanpak verbetert de privacy en weerstand tegen interceptie.

DNS via HTTPS-protocollen en -standaarden

De IETF definieert DNS via HTTPS in RFC 8484 – DNS-query's via HTTPS (DoH).

RFC 8484 geeft aan hoe DNS-berichten moeten worden verzonden en ontvangen met behulp van HTTP via TLS. De DoH-standaard ondersteunt zowel GET- als POST-methoden en definieert mediatypen voor DNS-berichten. Met deze methode kan DNS-verkeer profiteren van moderne HTTPS-functies, zoals versleuteling, verificatie en hergebruik van verbindingen.

Daarnaast biedt de DoH-standaard serverimplementaties de vrijheid om de luisterende URI en poort van de server te configureren, waardoor flexibele implementatie mogelijk is in verschillende netwerkomgevingen.

DNS-versleuteling en DNSSEC

DNS-versleuteling, zoals DoH en DNSSEC, hebben betrekking op verschillende bedreigingsmodellen en zijn complementaire technologieën. DNS-versleuteling beschermt DNS-verkeer op de kabel, terwijl DNSSEC ervoor zorgt dat DNS-gegevens cryptografisch worden geverifieerd voor integriteit en afkomstig zijn van een gezaghebbende bron.

Door DoH samen met DNSSEC te gebruiken, krijgt u diepgaande verdediging door versleuteld transport te combineren met geverifieerde DNS-gegevens. Zie Wat is DNSSEC voor meer informatie over DNSSEC?

Volgende stappen