encrypted DNS
DoT와 DoH는 클라이언트-리졸버 구간을 암호화한다
DoT와 DoH는 DNS 메시지를 TLS 또는 HTTPS 위에 실어 보냅니다. 단, 리졸버 운영자는 질의를 볼 수 있고 목적지 IP 같은 다른 메타데이터가 사라지는 것은 아닙니다.
전통 DNS는 기본적으로 평문이다
DoT는 전용 TLS 포트를 쓴다
DoH는 HTTPS 요청으로 DNS를 운반한다
DNS 53
UDP/TCP 53
기본 DNS 메시지는 암호화되지 않아 네트워크 관찰자가 질의 이름을 볼 수 있습니다.
DoT 853
DNS over TLS
DNS 메시지를 TLS 연결에 싣습니다. DNS 전용 포트라 운영 정책 적용이 비교적 명확합니다.
DoH 443
DNS over HTTPS
HTTPS 요청/응답으로 DNS를 주고받습니다. 앱이나 브라우저별 설정이 쉬운 편입니다.
1사용자 기기
query: example.com A
DNS 메시지를 만들고 리졸버로 보냅니다.
→
2암호화 전송
TLS / HTTPS tunnel
중간 네트워크에서 질의 이름을 직접 보기 어렵게 합니다.
→
3선택한 리졸버
decrypt → resolve
리졸버는 질의를 처리하므로 신뢰 대상이 됩니다.
정확한 기대치
암호화 DNS는 DNS 질의 프라이버시를 개선하지만, 접속 목적지 IP, 계정
로그인, 애플리케이션 트래픽 패턴까지 모두 숨기지는 않습니다.