DNS peste TLS ( DoT ) este un protocol de securitate pentru criptarea și încapsularea interogărilor și a răspunsurilor prin intermediul sistemului de nume de domeniu (DNS ) prin protocolul Transport Layer Security (TLS ) . Scopul metodei este de a spori confidențialitatea și securitatea utilizatorilor prin prevenirea ascultării și a manipulării datelor DNS prin atacuri om-în-mijloc .
În 2020, Cloudflare , Quad9 , Google , Quadrant Information Security, CleanBrowsing , LibreOps, DNSlify Telsy (EA) , AdGuard și Digitalcourage a oferit un DNS publice cu DNS peste tehnologia TLS.
În aprilie 2018, Google a anunțat că Android Pie va sprijini această tehnologie, permițând utilizatorilor să se conecteze la un server DNS atât prin Wi-Fi, cât și prin conexiune celulară, o opțiune care era posibilă până acum doar pentru utilizatorii care și-au înrădăcinat telefonul. DNSDist, de la PowerDNS , a anunțat, de asemenea, suport pentru tehnologie în versiunea 1.3.0. Utilizatorii BIND pot utiliza, de asemenea, DoT folosind un proxy cu stunnel . Unbound susține DoT din 22 ianuarie 2018. Unwind susține DoT din 29 ianuarie 2019. Cu suport tehnologic de la Android Pie și versiuni superioare, blocanții publicitari acceptă și utilizarea acestui protocol criptat.
Multe servere recursive publice acceptă DoT, dar sistemele client sunt deseori obligate să se înregistreze.
Clienții Android care rulează Android 9 (Pie) sau mai noi acceptă DNS prin TLS.
Utilizatorii Linux și Windows pot utiliza DNS ca client TLS prin demonul Stubby NLnet Labs Labs sau Knot Resolver. De asemenea, pot instala getdns-utils pentru a utiliza DoT direct cu instrumentul getdns_query. NLnet Labs Unbound DNS Resolver acceptă, de asemenea, DNS peste TLS.
IOS 14 Apple a introdus suport pentru DoT (și DNS prin HTTPS) la nivelul sistemului de operare. iOS nu permite configurarea manuală a serverelor DoT și necesită utilizarea unei aplicații terțe pentru a face modificări de configurare.
Systemd-solving este o implementare exclusiv Linux, care poate fi configurată pentru a utiliza DNS prin TLS, editând /etc/systemd/resolved.confși activând setarea DNSOverTLS. Majoritatea distribuțiilor Linux majore au systemd instalat în mod implicit.
PersonalDNSfilter este un filtru DNS open source care acceptă DoT și DoH ( DNS peste HTTPS ) pentru dispozitivele cu Java, inclusiv Android.
Nebulo este o aplicație Open Source pentru modificarea configurației DNS pentru Android și acceptă DoT și DoH.
DoT poate împiedica analiza și monitorizarea traficului DNS în scopuri de securitate cibernetică. DoT a fost folosit pentru a ocoli controalele parentale care funcționează la nivelul DNS standard (necriptat); Circle, un router de control parental care se bazează pe interogări DNS pentru a verifica domeniile cu o listă de blocuri, blochează DoT în mod implicit din acest motiv. Cu toate acestea, există furnizori DNS care oferă filtrare și control parental, precum și suport pentru DoT și DoH. În acest scenariu, interogările DNS sunt comparate cu listele de blocuri după ce sunt primite de furnizor, mai degrabă decât înainte de a părăsi routerul utilizatorului.
Criptarea de la sine nu protejează confidențialitatea, criptarea este pur și simplu o metodă de ascundere a datelor.
Clienții DoT nu interogă direct niciun server de nume autorizat. În schimb, clientul se bazează pe serverul DoT folosind interogări tradiționale (portul 53 sau 853) pentru a ajunge în cele din urmă la serverele autorizate. Astfel, DoT nu se califică ca protocol criptat end-to-end , doar criptat hop-to-hop și numai dacă DNS prin TLS este utilizat în mod consecvent.