Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Traditionele DNS maakt gebruik van niet-versleutelde UDP- of TCP-berichten op poort 53, waarmee DNS-verkeer wordt blootgesteld aan passieve bewaking, verkeersanalyse en actieve manipulatie door aanvallers. DNS-versleuteling beschermt DNS-query- en antwoordverkeer tegen waargenomen, gewijzigd of gemanipuleerd tijdens de overdracht via een netwerk.
DNS via HTTPS (DoH) is een op standaarden gebaseerd mechanisme dat DNS-verkeer versleutelt door DNS-berichten binnen HTTPS in te kapselen, vertrouwelijkheid en integriteit te bieden met behulp van Transport Layer Security (TLS). Door DNS-verkeer te versleutelen, helpt DoH om afluisteren, man-in-the-middle-aanvallen en onbevoegde inspectie van DNS-query's en -antwoorden te voorkomen.
Hoe DNS via HTTPS werkt
DNS via HTTPS wijzigt niet het fundamentele DNS-query- en antwoordmodel. In plaats daarvan wordt gewijzigd hoe DNS-berichten worden overgebracht via het netwerk. Wanneer u DoH inschakelt op een DNS-server, wordt DoH een extra versleutelde communicatieoptie en blijft de DNS-server traditionele DNS-query's beantwoorden, tenzij u deze mogelijkheid expliciet uitschakelt.
Wanneer u DoH inschakelt:
De DNS-server luistert naar HTTPS-verkeer.
U configureert een doH-compatibele client (zoals een Windows 11-client) voor het gebruik van versleutelde query's naar een DNS-server.
De DoH-client brengt een TLS-verbinding tot stand met de DNS-server.
De client verzendt DNS-query's binnen een HTTPS-aanvraag.
De DNS-server verwerkt de query zoals gebruikelijk.
Het DNS-antwoord wordt geretourneerd in het HTTPS-antwoord.
DNS via HTTPS voor DNS-server
Vanaf de beveiligingsupdate 2026-06 (KB5094125) voor Windows Server 2025 kunt u DNS via HTTPS (DoH) inschakelen op de DNS Server-service om DNS-verkeer tussen doH-compatibele clients en uw DNS-server te versleutelen.
Een voorbeeld van de DoH-communicatiestroom is zoals weergegeven in het volgende diagram.
Houd rekening met de volgende punten wanneer u DNS via HTTPS voor DNS-server configureert:
Upstream DNS-communicatie (doorstuurservers, voorwaardelijke doorstuurservers, gezaghebbende servers) blijft niet versleuteld.
DNS-zoneoverdrachten blijven niet versleuteld.
Dynamische DNS-updates blijven standaard niet versleuteld.
U kunt geen DNS-queryfilter maken dat alleen overeenkomt met DoH-query's.
Beleidsregels met een Transport Protocol-queryfilter komen niet overeen met DoH-query's. Een beleid waarbij het transportprotocolfilter is ingesteld op
EQ, TCP, komt bijvoorbeeld niet overeen met DoH.
Beveiligingsvoordelen van DNS via HTTPS
DNS via HTTPS biedt de volgende beveiligings- en privacyvoordelen:
Vertrouwelijkheid. DNS-query's en -antwoorden worden versleuteld, waardoor passieve bewaking wordt voorkomen.
Integriteit. TLS beveiligt DNS-berichten tegen wijziging tijdens de overdracht.
Authentication. DNS-clients kunnen de identiteit van de DNS-server valideren met behulp van standaard-HTTPS-certificaatvalidatie.
Weerstand tegen verkeersanalyse. DNS-verkeer wordt gecombineerd met ander HTTPS-verkeer, waardoor de blootstelling aan DNS-specifieke filtering of manipulatie wordt verminderd. Deze aanpak verbetert de privacy en weerstand tegen interceptie.
DNS via HTTPS-protocollen en -standaarden
De IETF definieert DNS via HTTPS in RFC 8484 – DNS-query's via HTTPS (DoH).
RFC 8484 geeft aan hoe DNS-berichten moeten worden verzonden en ontvangen met behulp van HTTP via TLS. De DoH-standaard ondersteunt zowel GET- als POST-methoden en definieert mediatypen voor DNS-berichten. Met deze methode kan DNS-verkeer profiteren van moderne HTTPS-functies, zoals versleuteling, verificatie en hergebruik van verbindingen.
Daarnaast biedt de DoH-standaard serverimplementaties de vrijheid om de luisterende URI en poort van de server te configureren, waardoor flexibele implementatie mogelijk is in verschillende netwerkomgevingen.
DNS-versleuteling en DNSSEC
DNS-versleuteling, zoals DoH en DNSSEC, hebben betrekking op verschillende bedreigingsmodellen en zijn complementaire technologieën. DNS-versleuteling beschermt DNS-verkeer op de kabel, terwijl DNSSEC ervoor zorgt dat DNS-gegevens cryptografisch worden geverifieerd voor integriteit en afkomstig zijn van een gezaghebbende bron.
Door DoH samen met DNSSEC te gebruiken, krijgt u diepgaande verdediging door versleuteld transport te combineren met geverifieerde DNS-gegevens. Zie Wat is DNSSEC voor meer informatie over DNSSEC?