Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Geleneksel DNS, 53 numaralı bağlantı noktasında şifrelenmemiş UDP veya TCP iletileri kullanır ve bu da DNS trafiğini saldırganların pasif izlemesine, trafik analizine ve etkin işlemesine maruz bırakır. DNS şifrelemesi, ağ üzerinden aktarım sırasında DNS sorgu ve yanıt trafiğinin gözlemlenmesini, değiştirilmesini veya değiştirilmesini engeller.
HTTPS üzerinden DNS (DoH), HTTPS içinde DNS iletilerini kapsülleyerek DNS trafiğini şifreleyen, Aktarım Katmanı Güvenliği (TLS) kullanarak gizlilik ve bütünlük sağlayan standartlara dayalı bir mekanizmadır. DoH, DNS trafiğini şifreleyerek gizlice dinlemeyi, ortadaki adam saldırılarını ve DNS sorgularının ve yanıtlarının yetkisiz denetlenmesini önlemeye yardımcı olur.
HTTPS üzerinden DNS nasıl çalışır?
HTTPS üzerinden DNS, temel DNS sorgusunu ve yanıt modelini değiştirmez. Bunun yerine, DNS iletilerinin ağ üzerinden taşınma şeklini değiştirir. Bir DNS Sunucusunda DoH'yi etkinleştirdiğinizde, DoH ek bir şifreli iletişim seçeneğine dönüşür ve bu özelliği açıkça devre dışı bırakmadığınız sürece DNS Sunucusu geleneksel DNS sorgularını yanıtlamaya devam eder.
DoH'yi etkinleştirdiğinizde:
DNS sunucusu HTTPS trafiğini dinler.
DoH özellikli bir istemciyi (Windows 11 istemcisi gibi) bir DNS sunucusuna şifrelenmiş sorgular kullanacak şekilde yapılandırabilirsiniz.
DoH istemcisi, DNS sunucusuna bir TLS bağlantısı kurar.
İstemci, BIR HTTPS isteği içinde DNS sorguları gönderir.
DNS sunucusu sorguyu her zamanki gibi işler.
DNS yanıtı HTTPS yanıtının içinde döndürülür.
DNS Sunucusu için HTTPS üzerinden DNS
Windows Server 2025 için 2026-06 Güvenlik Güncelleştirmesi(KB5094125) ile başlayarak, DOH özellikli istemcilerle DNS sunucunuz arasındaki DNS trafiğini şifrelemek için DNS Sunucusu hizmetinde HTTPS (DoH) üzerinden DNS'yi etkinleştirebilirsiniz.
Aşağıdaki diyagramda gösterildiği gibi DoH iletişim akışına bir örnek verilmiştir.
DNS Sunucusu için HTTPS üzerinden DNS yapılandırırken aşağıdaki noktaları göz önünde bulundurun:
Yukarı akış DNS iletişimi (ileticiler, koşullu ileticiler, yetkili sunucular) şifrelenmemiş olarak kalır.
DNS bölgesi aktarımları şifrelenmemiş olarak kalır.
DNS dinamik güncelleştirmeleri varsayılan olarak şifrelenmemiş olarak kalır.
Yalnızca DoH sorguları ile eşleşen bir DNS sorgu filtresi oluşturamazsınız.
Aktarım Protokolü sorgu filtresine sahip ilkeler DoH sorgularıyla eşleşmiyor. Örneğin, Aktarım Protokolü filtresinin ayarlandığı
EQ, TCPbir ilke DoH ile eşleşmiyor.
DNS'nin HTTPS üzerinden güvenlik avantajları
HTTPS üzerinden DNS aşağıdaki güvenlik ve gizlilik avantajlarını sağlar:
Gizlilik. DNS sorguları ve yanıtları şifrelenerek pasif izleme engellenir.
Bütünlük. TLS, AKTARıM sırasında DNS iletilerinin değiştirilmesini engeller.
Authentication. DNS istemcileri, standart HTTPS sertifika doğrulamasını kullanarak DNS sunucusunun kimliğini doğrulayabilir.
Trafik analizine karşı direnç. DNS trafiği diğer HTTPS trafiğiyle karıştırılarak DNS'ye özgü filtreleme veya işlemeye maruz kalma oranını azaltır. Bu yaklaşım gizliliği ve dinlemeye karşı direnci artırır.
HTTPS protokolleri ve standartları üzerinden DNS
IETF , RFC 8484 – HTTPS üzerinden DNS Sorguları (DoH) içinde HTTPS üzerinden DNS tanımlar.
RFC 8484, TLS üzerinden HTTP kullanarak DNS iletileri göndermeyi ve almayı belirtir. DoH standardı hem GET hem de POST yöntemlerini destekler ve DNS iletileri için medya türlerini tanımlar. Bu yaklaşım, DNS trafiğinin şifreleme, kimlik doğrulaması ve bağlantı yeniden kullanımı gibi modern HTTPS özelliklerinden yararlanmasını sağlar.
Ayrıca DoH standardı, sunucu uygulamalarına sunucunun dinleme URI'sini ve bağlantı noktasını yapılandırma özgürlüğü vererek farklı ağ ortamlarında esnek dağıtıma olanak tanır.
DNS şifrelemesi ve DNSSEC
DoH ve DNSSEC gibi DNS şifrelemesi farklı tehdit modellerini ele alır ve tamamlayıcı teknolojilerdir. DNS şifrelemesi kablodaki DNS trafiğini korurken DNSSEC, DNS verilerinin bütünlük açısından şifreli olarak doğrulanmasını ve yetkili bir kaynaktan gelmesini sağlar.
DoH'yi DNSSEC ile birlikte kullanarak, şifrelenmiş aktarımı kimliği doğrulanmış DNS verileriyle birleştirerek derinlemesine savunma elde edersiniz. DNSSEC hakkında daha fazla bilgi için bkz. DNSSEC nedir?