DNS sobre TLS ( DoT ) é um protocolo de segurança para a criptografia e encapsulamento de Domain Name System (DNS ) consultas e respostas através do Transport Layer Security (TLS ) protocolo . O objetivo do método é aumentar a privacidade e a segurança do usuário, evitando a interceptação e a manipulação de dados DNS por meio de ataques man-in-the-middle .
Em 2020, Cloudflare , Quad9 , Google , Quadrant Information Security, CleanBrowsing , LibreOps, DNSlify Telsy (it) , AdGuard e Digitalcourage ofereceram um resolvedor DNS público com tecnologia DNS sobre TLS.
Em abril de 2018, o Google anunciou que o Android Pie suportaria essa tecnologia, permitindo que os usuários se conectassem a um servidor DNS por Wi-Fi e celular, uma opção que até agora só era possível para usuários que fizeram o root em seus telefones. DNSDist, da PowerDNS , também anunciou suporte para a tecnologia na versão 1.3.0. Os usuários do BIND também podem usar o DoT usando um proxy com stunnel . O Unbound oferece suporte ao DoT desde 22 de janeiro de 2018. O Unwind oferece suporte ao DoT desde 29 de janeiro de 2019. Com o suporte de tecnologia do Android Pie e superior, os bloqueadores de anúncios também oferecem suporte ao uso desse protocolo criptografado.
Muitos servidores públicos recursivos suportam DoT, mas os sistemas cliente geralmente precisam se registrar.
Os clientes Android que executam o Android 9 (Pie) ou mais recente são compatíveis com DNS sobre TLS.
Usuários de Linux e Windows podem usar DNS como cliente TLS por meio do demônio Stubby NLnet Labs Labs ou Knot Resolver. Eles também podem instalar getdns-utils para usar DoT diretamente com a ferramenta getdns_query. O NLnet Labs Unbound DNS Resolver também oferece suporte a DNS sobre TLS.
O iOS 14 da Apple introduziu suporte para DoT (e DNS sobre HTTPS) no nível do sistema operacional. O iOS não permite a configuração manual de servidores DoT e requer o uso de um aplicativo de terceiros para fazer alterações na configuração.
Resolvido por Systemd é uma implementação somente do Linux que pode ser configurada para usar DNS sobre TLS, editando /etc/systemd/resolved.confe habilitando a configuração DNSOverTLS. A maioria das principais distribuições do Linux tem o systemd instalado por padrão.
PersonalDNSfilter é um filtro DNS de código aberto que oferece suporte a DoT e DoH ( DNS sobre HTTPS ) para dispositivos habilitados para Java, incluindo Android.
Nebulo é um aplicativo de código aberto para alterar a configuração de DNS para Android e oferece suporte a DoT e DoH.
O DoT pode dificultar a análise e o monitoramento do tráfego DNS para fins de segurança cibernética. O DoT foi usado para contornar os controles dos pais que operam no nível DNS padrão (não criptografado); O Circle, um roteador de controle parental que depende de consultas DNS para verificar os domínios em uma lista de bloqueio, bloqueia o DoT por padrão por esse motivo. No entanto, existem provedores de DNS que oferecem filtragem e controle dos pais, bem como suporte para DoT e DoH. Nesse cenário, as consultas DNS são verificadas em relação às listas de bloqueio depois de serem recebidas pelo provedor, e não antes de deixar o roteador do usuário.
A criptografia por si só não protege a privacidade; a criptografia é simplesmente um método de ocultar dados.
Os clientes DoT não consultam diretamente nenhum servidor de nomes autorizado. Em vez disso, o cliente depende do servidor DoT usando consultas tradicionais (porta 53 ou 853) para finalmente alcançar os servidores autorizados. Portanto, o DoT não se qualifica como um protocolo criptografado de ponta a ponta , apenas criptografado de salto a salto e somente se o DNS sobre TLS for usado de forma consistente.