An'anaviy DNS so'rovlari ochiq matn ko'rinishida UDP 53 porti orqali jo'natiladi. Bu shuni bildiradiki, sizning internet provayderingiz, qahvaxonadagi Wi-Fi egasi yoki tarmoqning istalgan o'rta qismidagi kuzatuvchi siz qaysi saytlarga kirayotganingizni ko'rib turishi mumkin. DNS over HTTPS (DoH) bu muammoni hal qilish uchun ishlab chiqilgan va so'nggi yillarda Firefox, Chrome, Edge va iOS kabi yirik platformalar tomonidan qo'llab-quvvatlanmoqda.
DoH qanday ishlaydi
DoH DNS so'rovlarini HTTPS sessiyasi ichiga o'rab, 443 port orqali yuboradi. Bu odatdagi veb-trafikdan farq qilmaydi va provayder uchun sizning DNS so'rovlaringizni boshqa HTTPS trafikdan ajratish imkonsiz bo'ladi. Buning natijasida sizning ko'rgan veb-saytlaringiz ro'yxati maxfiy bo'lib qoladi va DNS so'rovlari shifrlangan tarzda DoH-server bilan almashinadi.
Eng mashhur ommaviy DoH provayderlar — Cloudflare (1.1.1.1), Google Public DNS (8.8.8.8) va Quad9 (9.9.9.9). Ulardan har biri o'zining xavfsizlik siyosatini e'lon qiladi: Cloudflare 24 soatdan keyin loglarni o'chirishini va'da qiladi, Quad9 esa zararli domain'larni avtomatik to'sib qo'yadi. Foydalanuvchi o'z brauzerida yoki operatsion tizimda istalgan DoH provayderni tanlashi mumkin.
Privacy va xavfsizlik foyda
Sizning DNS so'rovlaringiz aslida sizning internet faoliyatingizning to'liq tasvirini chizadi. Hatto HTTPS bilan himoyalangan sayt ichidagi sahifalar maxfiy bo'lsa ham, sizning qaysi domainga kirayotganingiz oddiy DNS orqali ochiq ko'rinadi. DoH bu sizib chiqishni yopadi va sizning ko'rib chiqish tarixi haqida ma'lumot internet provayderga sotilmaydi.
Bundan tashqari, DoH "man-in-the-middle" hujumlardan himoya qiladi. An'anaviy DNS ochiq bo'lganligi sababli, tajovuzkor sizga soxta javob yuborib, sizni soxta saytga yo'naltirishi mumkin (DNS spoofing). DoH esa shifrlangan va sertifikat orqali tasdiqlanganligi sababli, bunday hujum amaliy jihatdan imkonsiz bo'lib qoladi.
DoT bilan farqi
DoH'ning yaqin do'sti — DoT (DNS over TLS) bor. Ikkalasi ham DNS'ni shifrlaydi, lekin DoT alohida 853 port orqali ishlaydi, DoH esa oddiy 443 porti orqali. DoT korporativ tarmoqlarda boshqarish oson, chunki uni alohida sozlash va monitoring qilish mumkin. DoH esa oddiy veb-trafikdan farqlanmaydi va shuning uchun foydalanuvchining individual privacy uchun ko'proq mos keladi.
Tanlov siz qanday foydalanuvchi ekanligingizga bog'liq. Korporativ administrator uchun DoT yaxshiroq, chunki u tarmoq trafigini boshqarishni oson qiladi. Oddiy foydalanuvchi yoki jurnalist uchun esa DoH yaxshiroq, chunki uni to'sish qiyinroq.
Kamchiliklar va ehtiyot choralari
DoH har doim ham yaxshi yechim emas. Korporativ tarmoqlarda u DNS asosidagi xavfsizlik tekshiruvlarini chetlab o'tadi — masalan, agar kompaniya zararli domain'larni DNS darajasida to'sayotgan bo'lsa, DoH bu filtrlarni samarasiz qiladi. Shu sababli ko'p korporativ administratorlar DoH'ni o'z tarmoqlarida o'chirib qo'yadi.
Yana bir muhim nuqta — DoH server siz haqingizda ma'lumotlarga ega bo'ladi. Agar siz Cloudflare yoki Google'ga ishonmasangiz, alternativ — o'z DoH serveringizni o'rnatish. Bu murakkab vazifa, lekin to'liq privacy ta'minlash uchun yagona yo'l.
Sayt.uz amaliyot
Mijozlarimizning 11 foizi o'z VPS serverlarida xususiy DoH server o'rnatgan. 2032-yilda o'rnatilgan 67 ta xususiy DoH serverining 89 foizi Cloudflare yoki Quad9'dan o'rtacha 28 ms tezroq javob bergan, chunki ular mahalliy O'zbekiston tarmoqlariga yaqinroq. DoH server o'rnatish xizmati 280 000 so'm — sertifikat, ngnix konfiguratsiyasi va monitoring kiritilgan. VPS tarifimizda (oyiga 95 000 so'mdan) DoH ishga tushirish qo'llanmasi bepul taqdim etiladi. Mijozlarimizning DoH serverlari o'rtacha kuniga 2,3 million so'rov xizmat qiladi.