Proč je DNS klíčové pro soukromí
Domain Name System (DNS) je „adresář“ internetu: překládá názvy jako priklad.sk na IP adresy. Každý váš dotaz je informace o tom, kam se chystáte připojit – i když je následná komunikace šifrovaná (HTTPS), samotné DNS dotazy tradičně odcházejí v otevřeném textu. Proto z nich dokáže mnoho vyčíst váš poskytovatel internetu, provozovatel Wi-Fi nebo kdokoliv mezi vámi a DNS serverem.
Jak funguje „klasické“ DNS a kde unikají data
- Stub resolver v zařízení odešle dotaz (typicky UDP/53) na rekurzivní resolver (často router nebo server ISP).
- Rekurzivní resolver se ptá dál (autoritativní servery) a odpověď ukládá do cache.
- Problém: dotaz i odpověď jsou čitelné během přenosu. Je možné provádět pasivní sledování, cenzuru či injektování odpovědí.
DoT vs. DoH: co to je a v čem se liší
Moderní standardy přinášejí šifrování mezi vámi a rekurzivním resolverem:
| Vlastnost | DoT (DNS over TLS) | DoH (DNS over HTTPS) |
|---|---|---|
| Transport | TLS na samostatném portu (obvykle 853) | HTTPS (TLS) přes standardní port 443 |
| Maskování v běžném provozu | Nižší – specifický port může síť blokovat | Vyšší – splývá s běžným HTTPS provozem |
| Integrace do aplikací | Typicky systémové/rezolverové | Jednoduchá pro prohlížeče a aplikace |
| Diagnostika | Snadnější (oddělený port a protokol) | Komplikovanější (DNS uvnitř HTTP/2/3) |
| Výkon | Nízká latence, per-tok TLS | Multiplex přes HTTP/2/3, možný zisk u vícenásobných dotazů |
Co šifrování DNS neřeší (a co ano)
- Řeší: utajení obsahu dotazů před pozorovateli na trase, integritu mezi klientem a resolverem.
- Neřeší: viditelnost IP adres cílových serverů ani to, že resolver sám vaše dotazy vidí a může je zaznamenávat.
- Důležité pojmy:
- QNAME minimization – resolver posílá autoritám jen nezbytně dlouhou část názvu.
- Padding – doplňování délky dotazů proti fingerprintingu.
- DNSSEC – chrání integritu (digitální podpisy), neslouží k ochraně soukromí (šifrování).
- ECH (Encrypted ClientHello) – doplňuje soukromí TLS tím, že skrývá uvedení hostitele při navazování spojení; dopad mimo DNS.
- EDNS Client Subnet (ECS) – může prozrazovat síť klienta autoritám (doporučuje se vypnout nebo používat agregovaný ECS).
Hrozby, před kterými DoH/DoT pomáhají
- Pasivní dohled na veřejných Wi-Fi – čitelnost vašich DNS dotazů.
- Manipulace s odpověďmi (blokování, přesměrování, NXDOMAIN hijacking, vložené reklamy).
- Sestavování profilů poskytovateli připojení a třetími stranami.
Výběr důvěryhodného resolveru
Šifrování přesouvá důvěru z tranzitní sítě na provozovatele resolveru. Při výběru sledujte:
- Politiku logování: doba uchovávání, anonymizace, sdílení s třetími stranami.
- Jurisdikci a transparentnost: zprávy o požadavcích, auditované zásady.
- Podporu soukromí: QNAME minimization, bez ECS, podpora TLS 1.3/HTTP/3, odpověď na CNAME cloaking.
- Spolehlivost a výkon: anycast uzly, SLA, dostupnost DoT i DoH.
- Bezpečnostní funkce: ochrana proti malwaru/phishingu (dobrovolné), možnost profilu „čisté DNS“ bez filtrů.
Možnosti nasazení v domácnosti
- Prohlížeč – rychlá volba: povolit DoH přímo v prohlížeči (izolované na webové přenosy).
- Operační systém – centrální řešení: systém nasměruje všechny aplikace na DoH/DoT resolver.
- Router – jedna konfigurace pro celou LAN: router komunikuje se světem přes DoT/DoH, klientům v LAN poskytuje DNS lokálně (nezapomeňte vypnout „DNS rebind“ rizika a povolit cache).
- Vlastní resolver (např. unbound, Knot Resolver, stubby) – plná kontrola, QNAME minimization, DoT/DoH upstream.
- Blokování trackerů (např. pi-hole) – kombinujte s DoT/DoH na upstream, aby blokovací uzel neodesílal dotazy v otevřeném textu.
Nastavení podle platformy – praktické poznámky
- Android – „Soukromý DNS“ (typicky DoT) na systémové úrovni. Zadejte název hostitele resolveru (nikoli IP adresu).
- iOS/iPadOS/macOS – profily a konfigurace umožňují DoH/DoT; některá MDM řešení to vynucují podle podnikových politik.
- Windows – „Secure DNS/DoH“ v síťových nastaveních; vyberte známé poskytovatele nebo přidejte vlastního.
- Linux – systemd-resolved, NetworkManager či unbound podporují DoT/DoH; volte podle distribuce.
- Prohlížeče – Firefox má vlastní DoH (TRR), prohlížeče založené na Chromium používají „Secure DNS“. Pozor na duplicitu: systém i prohlížeč mohou používat různé poskytovatele.
Poznámka: názvy menu a umístění volby se liší podle verze systému; řiďte se dokumentací vaší platformy.
Ověření funkčnosti a diagnostika
- DNS leak test: webové testy odhalí, jaký resolver vidí vaše dotazy. Hledejte, zda je to vámi zvolený DoH/DoT poskytovatel.
- Router/OS logy: zkontrolujte, zda odcházejí spojení na port 853 (DoT) nebo HTTPS na hostitele resolveru (DoH).
- Příkazy a nástroje: některé utilitky podporují DoT/DoH (např.
kdig,drill, moderní knihovny). Klasickénslookupobvykle používá systémový resolver. - Fallbacky: ověřte, co se stane při výpadku – zda klient neklesá zpět na nešifrované DNS bez varování.
Výkon, spolehlivost a vliv na uživatelský komfort
- Cache na routeru i resolveru snižuje latenci; HTTP/2/3 multiplex pro DoH může urychlit sérii dotazů.
- Blízkost anycast uzlu výrazně ovlivní dojem – vyberte poskytovatele s uzly ve vašem regionu.
- Happy Eyeballs a časové limity – rozumné timeouty a paralelní pokusy zvyšují úspěšnost.
DNS v kontextu dalších ochranných vrstev
- VPN – přesměruje DNS do tunelu; kombinujte s DoH/DoT u VPN resolveru, aby ani tunelová brána neviděla otevřené dotazy.
- HTTPS RR/SVCB a ECH – moderní záznamy a šifrované ClientHello snižují únik metadat mimo DNS.
- DNSSEC – doporučeno zapnout pro integritu; soukromí doplňují DoH/DoT.
Jednoduchý postup nasazení (v 5 krocích)
- Vyberte si důvěryhodného poskytovatele s jasnou politikou soukromí.
- Rozhodněte, kde to zapnete: prohlížeč (nejrychleji), systém (komplexně) nebo router (centrálně pro celou domácnost).
- Zapněte DoH (port 443) nebo DoT (port 853) podle možností platformy; uložte název hostitele a profil.
- Otestujte úniky a chování při výpadku; zkontrolujte, zda nedochází k návratu na nešifrované DNS.
- Volitelně dolaďte: vypněte ECS, zapněte QNAME minimization, povolte DNSSEC validaci a lokální cache.
Specifika v podnikových a školních sítích
- Split-horizon DNS – interní názvy musí zůstat dostupné; klienti by neměli obcházet firemní resolver.
- Politiky a MDM – centrální profily mohou vynutit DoH/DoT k firemnímu resolveru a zároveň minimalizovat logování.
- Captive portály – mohou vyžadovat dočasné vypnutí nebo speciální výjimky.
Časté otázky
- Je DoH „lepší“ než DoT?
- Záleží na prostředí. DoH projde přes port 443 a maskuje se jako webový provoz; DoT je protokolem čistší a snáze se monitoruje a diagnostikuje. Na úroveň soukromí vůči síti mají podobný efekt.
- Potřebuji i DNSSEC, pokud mám DoH/DoT?
- Ano, doporučuje se – řeší integritu záznamů od autorit. DoH/DoT šifruje pouze cestu k resolveru.
- Vidí můj resolver všechno?
- Ano. Proto je důležitý výběr poskytovatele a jeho politika ochrany dat.
- Může to zpomalit internet?
- První spojení může mít mírný overhead, ale cache a HTTP/2/3 jej kompenzují. Při dobré infrastruktuře rozdíl nepoznáte.
Kontrolní seznam doporučení
- Zvolte důvěryhodný resolver (bez ECS, s QNAME minimization, DNSSEC validátorem).
- Zapněte DoH/DoT na úrovni, která vám dává smysl (prohlížeč/systém/router).
- Otestujte úniky a chování při výpadku; zkontrolujte fallbacky.
- Na routeru povolte cache a zabezpečte, aby klienti nemohli obcházet lokální DNS.
- Kombinujte s dalšími vrstvami: HTTPS, ECH, případně VPN.
DoH a DoT přinášejí výrazné zvýšení soukromí tím, že skrývají vaše DNS dotazy před nežádoucími očima v síti. Samy o sobě však nenahrazují dobrý výběr resolveru, DNSSEC ani další moderní mechanismy, které chrání metadata. Pokud zvolíte správnou kombinaci (důvěryhodný poskytovatel, vhodná úroveň nasazení, rozumné politiky), získáte soukromější a zároveň spolehlivé DNS bez nutnosti měnit své návyky na internetu.
