Apa itu DNS over HTTPS?
DNS over HTTPS (DoH) adalah protokol yang mengenkripsi trafik DNS dengan cara mengirim query DNS melalui sesi HTTPS terenkripsi. DoH membantu meningkatkan keamanan dan privasi online sekaligus melindungi query DNS dari serangan.
Diperkenalkan pada tahun 2018, DoH bekerja mirip seperti DNS biasa, tapi menggunakan sesi HTTPS agar request lebih aman dan meminimalkan visibilitas data yang ditukar selama proses query.
Beberapa web browser populer, termasuk Mozilla Firefox, Microsoft Edge, dan Google Chrome, sudah mengimplementasikan DoH untuk meningkatkan privasi dan keamanan data pengguna.
Bagaimana cara kerja DoH?
Untuk memahami DoH, kita perlu memahami dulu cara kerja DNS standar. Website di-host di web server, dan setiap server — atau website di dalamnya — punya IP address terkait. Agar browser bisa mengakses website, ia harus tahu dulu IP address situs tersebut, di sinilah fungsi DNS. Tugas server DNS adalah mengubah hostname, seperti “https://www.techtarget.com/whatis,” menjadi IP address.
Ketika user memasukkan hostname di browser, request dikirim ke recursive resolver. Jika resolver tidak tahu cara menjawab query, ia akan meneruskannya ke root name server. Root name server menangani top-level domain (TLD) seperti .com, .org, dan .edu. Root server kemudian memberi alamat DNS server TLD yang sesuai. Misalnya, jika user mencoba mengakses situs .com, root DNS akan memberikan alamat server TLD untuk .com.
Setelah itu, resolver mengirim request ke TLD server, lalu TLD server membalas dengan IP address dari DNS server yang mengelola domain tersebut. Resolver kemudian mengirim query ke DNS server itu, yang akhirnya memberikan IP address dari website yang ingin diakses user. Browser lalu bisa mengirim HTTP atau HTTPS request ke IP address tersebut untuk membuka website. Dalam beberapa kasus, caching membuat proses ini lebih cepat.
DoH bekerja dengan cara yang hampir sama, tapi ada dua perbedaan utama. Pertama, request DNS dibungkus (encapsulated) dalam sesi HTTPS, bukan dikirim via HTTP biasa. Seperti trafik HTTPS lain, request ini dikirim lewat port 443. Agar DoH berfungsi, browser dan DNS server keduanya harus support DoH.
Perbedaan kedua adalah DoH meminimalkan informasi yang dikirim dalam setiap query DNS. Caranya dengan hanya mengirim bagian domain name yang relevan untuk langkah resolusi saat itu, bukan full domain yang sedang di-resolve. Misalnya, root DNS tidak perlu tahu kalau browser sedang mencoba resolve “https://www.techtarget.com/whatis,” cukup tahu bahwa browser butuh resolve alamat dengan TLD .com.
Apa saja manfaat DoH?
Manfaat utama DoH adalah mengenkripsi trafik resolusi DNS sehingga aktivitas online user lebih tersembunyi. Saat user mengetik URL di browser, biasanya dibutuhkan query DNS untuk mengubah domain menjadi IP address. Request ini, kecuali ada DNS server di jaringan lokal, akan melewati jaringan ISP dan router-router di antaranya sebelum sampai ke server DNS. Artinya, request ini bisa dilihat di setiap hop sepanjang jalur.
Contohnya, ISP bisa tahu website apa saja yang dikunjungi user hanya dengan memonitor query DNS. DoH menyembunyikan query ini dari ISP maupun pihak lain yang melakukan sniffing atau eavesdropping di jaringan perantara.
DoH juga mencegah serangan DNS spoofing dan man-in-the-middle. Karena sesi antara browser dan DNS server terenkripsi, tidak ada pihak lain yang bisa mengubah hasil resolusi untuk mengarahkan browser user ke website palsu.
Apa kritik dan kontroversi tentang DoH?
DoH mendapat banyak kritik. Beberapa pihak, seperti Comcast, khawatir DoH akan memusatkan data DNS di tangan Google karena infrastruktur yang terpusat, sehingga Google bisa mengontrol routing trafik internet sekaligus punya akses besar terhadap data pengguna dan kompetitor.
DoH juga bisa bermasalah di lingkungan enterprise. Banyak perusahaan memonitor query DNS untuk memblokir akses ke situs berbahaya atau tidak pantas. Monitoring DNS juga kadang dipakai untuk mendeteksi malware yang mencoba “phone home.” Karena DoH mengenkripsi request resolusi, hal ini menciptakan blind spot dalam monitoring keamanan.