Şifreli DNS Açıklaması: DoH ve DoT Neyi Gerçekten Gizler — ve VPN'inizin DNS'i Neden Önemli

Şifreli DNS Açıklaması: DoH ve DoT Neyi Gerçekten Gizler — ve VPN'inizin DNS'i Neden Önemli
Bir web sitesini her ziyaret ettiğinizde, cihazınız çoğu kişinin hiç düşünmediği sessiz bir sorgu yapar: "bu alan adının IP adresi nedir?" diye sorar. İşte bu DNS'tir — internetin telefon rehberi — ve web'in tarihinin büyük bölümünde bu soru ve cevabı düz metin olarak, sizinle DNS sunucunuz arasındaki herkesin okuyabileceği şekilde iletildi. Şifreli DNS bunu düzeltir. Bu rehber, nasıl çalıştığını, tam olarak neyi koruduğunu, neyi açıkta bıraktığını ve halihazırda çalıştırıyor olabileceğiniz VPN ile nasıl ilişkili olduğunu açıklar.
Düz metin DNS neden bir gizlilik sorunudur
Bir siteye HTTPS üzerinden bağlandığınızda, oturumunuzun içeriği şifrelenir. Ancak öncesinde gerçekleşen DNS sorgusu genellikle şifrelenmez. İnternet sağlayıcınız — ya da aynı ağdaki herhangi biri — bu sorguları izleyebilir ve sayfaların kendisini okuyamasalar bile ziyaret ettiğiniz alan adlarının tam bir listesini oluşturabilir.
Düz metin DNS iki ayrı zarar doğurur. Birincisi gözetim: ISS'niz çözümlediğiniz alan adları üzerinden tarama geçmişinizi kaydedebilir, hatta paraya çevirebilir. İkincisi kurcalama: sorgu kimliği doğrulanmadığı için bir ağ sorguları yönlendirebilir veya engelleyebilir — DNS tabanlı sansürün ve düşmanca Wi-Fi'de sunulan sahte giriş sayfalarının arkasındaki mekanizma budur. Şifreli DNS, sorguyu şifreleme ve bütünlük korumasıyla sararak her ikisini de ele alır.
DoH ile DoT: sorguyu şifrelemenin iki yolu
İki yaygın standart vardır ve aralarındaki fark çoğunlukla hangi bağlantı noktasını kullandıkları ve dolayısıyla ağda ne kadar görünür oldukları ile ilgilidir.
DNS over HTTPS (DoH) DNS sorgularınızı sıradan HTTPS trafiğinin içinde 443 numaralı bağlantı noktası üzerinden gönderir; RFC 8484 ile standartlaştırılmıştır. Diğer herhangi bir web isteği gibi göründüğü için bir ağın onu ayırıp engellemesi zordur — tarayıcıların onu benimsemesinin nedeni tam olarak budur. Firefox, Chrome veya Edge'de en sık açacağınız seçenek budur.
DNS over TLS (DoT) aynı sorguları TLS ile sarar, ancak özel 853 numaralı bağlantı noktası üzerinden. Bu, bir ağda yönetimini daha temiz hale getirir — yöneticiler DoT trafiğini ayrı olarak görüp denetleyebilir — ama aynı zamanda kısıtlayıcı bir ağın onu tümüyle engellemesini de kolaylaştırır. DoT, işletim sistemi ve yönlendirici düzeyinde yaygındır (örneğin Android'in Özel DNS'i).
Her ikisi de size aynı temel korumayı sağlar: sorgular aktarım sırasında şifrelenir ve sessizce değiştirilemeyecek şekilde kimliği doğrulanır. DoH göze batmamayı önceler; DoT temiz ağ yönetimini önceler. Gizlilik peşindeki bir birey için DoH genellikle daha dayanıklı seçimdir.
Şifreli DNS gerçekte neyi gizler — ve neyi gizlemez
Dürüstlüğün önemli olduğu yer burasıdır, çünkü şifreli DNS çoğu zaman olduğundan fazla pazarlanır. Belirli bir sorunu iyi çözer ve diğerlerine dokunmaz.
Neyi gizler:
DNS sorgularınızın içeriğini ISS'nizden ve yerel ağınızdaki herkesten — artık hangi alan adlarını çözümlediğinizi okuyamazlar.
Cevabın bütünlüğünü — bir ağ sorgunuzu sessizce kötü amaçlı ya da sansürlü bir hedefe yönlendiremez.
Neyi GİZLEMEZ:
Hedef IP adresini. Sorgudan sonra cihazınız yine de o IP'ye bağlanır ve ISS'niz bu bağlantıyı görür. İyi bilinen tek bir IP'den bile çoğu zaman siteyi çıkarabilirler.
TLS el sıkışmasındaki sunucu adını (SNI). Encrypted Client Hello kullanılmadıkça, bağlandığınız alan adı — DNS'ten ayrı olarak — HTTPS bağlantısının ilk paketinde hâlâ görünür.
Sorgularınızı çözümleyiciden. Şifreli DNS güveninizi taşır, onu ortadan kaldırmaz. Çözümleyiciyi kim işletiyorsa — Cloudflare'in 1.1.1.1'i, Google'ın 8.8.8.8'i, Quad9 ya da ISS'niz — artık her sorguyu görür. Gerçek bir gizlilik politikası olan birini seçin.
Genel olarak meta veriyi. Sorgular şifrelenmiş olsa bile zamanlama, hacim ve bağlantı desenleri hâlâ bilgi sızdırır.
Şifreli DNS, hangi siteleri sorguladığınızı ağınızdan gizler — ama ardından gelen bağlantı yine de çok şey açığa vurur ve seçtiğiniz çözümleyici her şeyi görür. Bu bir başlangıç düzeyidir, bir pelerin değil.
Şifreli DNS ile VPN: farklı katmanları çözerler
İnsanlar sık sık şifreli DNS'in bir VPN'in yerini alıp almadığını sorar. Almaz — farklı kapsamlarda çalışırlar ve bunu anlamak yaygın bir hatayı önler.
Şifreli DNS yalnızca DNS sorgularınızı korur. Bir VPN ise tüm trafiğinizi — sorguları ve ardından gelen bağlantıları — şifreleyip VPN sunucusuna tünelleyerek iletir; böylece ISS'niz yalnızca sağlayıcınıza giden şifreli bir tünel görür, içindeki hedefler hakkında hiçbir şey görmez. Düzgün yapılandırılmış bir VPN, DNS'i sizin adınıza da yönetir ve bu sorguları tünel üzerinden sağlayıcının kendi çözümleyicisine yönlendirir.
İşte işlerin ters gittiği yer bu son ayrıntıdır. Bir VPN etkinken tarayıcınız veya işletim sisteminiz DoH'u farklı bir sağlayıcıya gönderecek şekilde yapılandırılmışsa, DNS'iniz tünelin dışına kayabilir — bu, sorgularınızı istemediğiniz bir çözümleyiciye açan ve VPN'i baltalayan klasik bir DNS sızıntısıdır. Çözüm, DNS'i VPN'in yönetmesine izin vermek ya da şifreli DNS'i VPN'in kendi çözümleyicisine yönlendirmek ve ardından doğrulamaktır.
Nasıl kontrol edip kurulur
Önce sızıntı testi yapın. Bir DNS sızıntı testi çalıştırın — bu sitedeki şifreli DNS ve sızıntı araçları dahil — böylece tam olarak hangi çözümleyicinin sizin için yanıt verdiğini ve beklediğiniz çözümleyici olup olmadığını görün. Bir VPN'deyseniz ve ISS'nizin çözümleyicisini görüyorsanız, bir sızıntınız var demektir.
Şifreli DNS'i bilinçli olarak açın. Firefox, Chrome veya Edge'de Güvenli DNS / DNS over HTTPS'i etkinleştirin ve saygın bir çözümleyici seçin. Android'de Özel DNS'i (DoT) kullanın; modern Windows ve Apple sistemlerinde şifreli DNS işletim sistemi düzeyinde mevcuttur.
Bir VPN kullanırken DNS'i ona bırakın. Sorguların tünel içinde kalması için VPN'in yerleşik DNS'ini tercih edin ve onları başka yere yönlendirecek çakışan bir tarayıcı DoH ayarını devre dışı bırakın.
Çözümleyicinizi önemliymiş gibi seçin — çünkü öyle. Cloudflare, Google ve Quad9 gizlilik politikaları yayımlar ve filtreleme çeşitleri sunar; ISS'nizin çözümleyicisi genellikle en az gizliliği sunar. Çözümleyici sorgularınızı gördüğü için tüm karar güvene dayanır.
Sonuç
Şifreli DNS, mevcut en ucuz gizlilik yükseltmelerinden biridir: ISS'nizin ve yerel ağın sorgularınızı okumasını ve kurcalamasını durdurur ve her modern tarayıcı ile işletim sistemi bunu destekler. Ama tek bir katmandır. Ardından gelen bağlantıları gizlemez ve güveninizi seçtiğiniz çözümleyiciye kaydırır. Bunu iyi yapılandırılmış bir VPN ile — DNS'inizi üstlenip hiçbir şeyin sızmamasını sağlayan bir VPN ile — eşleştirin; böylece her iki aracın da tek başına açık bıraktığı boşluğu kapatırsınız. Her zaman olduğu gibi, çalıştığını varsaymayın; test edin ve doğrulayın.
Sıkça Sorulan Sorular
DoH ile DoT arasındaki fark nedir?
Her ikisi de DNS sorgularınızı şifreler, ancak DNS over HTTPS (DoH) bunları 443 numaralı bağlantı noktası üzerinden normal HTTPS trafiğinin içinde gönderir; bu da göze batmamasını ve engellenmesinin zor olmasını sağlar. DNS over TLS (DoT) ise özel bir 853 numaralı bağlantı noktası kullanır; bu ağların yönetmesi için daha temizdir ama engellenmesi daha kolaydır. Tarayıcılar genellikle DoH kullanır; işletim sistemleri ve yönlendiriciler ise Android'in Özel DNS'i gibi çoğu zaman DoT kullanır.
Şifreli DNS taramamı ISS'imden gizler mi?
Kısmen. DNS sorgularınızın içeriğini gizler, böylece ISS'niz hangi alan adlarını çözümlediğinizi okuyamaz ve kurcalamayı önler. Ancak ardından bağlandığınız hedef IP adresini gizlemez; Encrypted Client Hello kullanılmadıkça TLS el sıkışmasındaki sunucu adını da gizlemez. ISS'nizin göremeyeceği daha kapsamlı bir koruma için, tüm trafiği tünelleyen bir VPN'e ihtiyacınız var.
Şifreli DNS kullanıyorsam yine de bir VPN'e ihtiyacım var mı?
Farklı katmanları çözerler. Şifreli DNS yalnızca DNS sorgularınızı korur; bir VPN ise sorgular ve ardından gelen bağlantılar dahil tüm trafiğinizi şifreleyip tünelleyerek iletir ve IP adresinizi gizler. Şifreli DNS faydalı bir başlangıç düzeyidir, ama ISS'nizin ve yerel ağın hedefleriniz hakkında hiçbir şey görmemesini istediğinizde bir VPN'in yerini tutmaz.
DNS sızıntısı nedir?
DNS sızıntısı, DNS sorgularınızın VPN tünelinizin dışında iletilmesiyle olur — örneğin VPN etkinken tarayıcınız veya işletim sisteminiz DNS over HTTPS'i farklı bir sağlayıcıya gönderecek şekilde ayarlandığında. Sonuç olarak istemediğiniz bir çözümleyici sorgularınızı görür ve bu VPN'i baltalar. Bunu bir DNS sızıntı testiyle tespit edebilir ve DNS'i VPN'in yönetmesine izin vererek düzeltebilirsiniz.
Şifreli DNS kullandığımda DNS sorgularımı kim görebilir?
Seçtiğiniz çözümleyici — Cloudflare'in 1.1.1.1'i, Google'ın 8.8.8.8'i, Quad9 ya da ISS'niz gibi — yine de her sorguyu görür. Şifreli DNS güveninizi ortadan kaldırmaz, onu bu çözümleyiciye taşır; bu yüzden net ve gizliliğe saygılı bir politikası olan birini seçmek önemlidir. Ancak yerel ağınız ve ISS'niz artık aktarım sırasındaki şifreli sorguları okuyamaz.



