DNS-over-TLS (DoT) — это защищённая версия традиционного DNS, которая обеспечивает зашифрованный канал для DNS-запросов. 1

Процесс работы технологии: 2

1. DNS-резольвер с поддержкой DoT устанавливает TLS-соединение с авторитетным DNS-сервером, поддерживающим DoT. 2 Это создаёт зашифрованный сеанс. 2
2. DNS-запросы отправляются от резольвера к авторитетному DNS-серверу через зашифрованный TLS-туннель. 2
3. Авторитетный DNS-сервер отвечает DNS-ответом обратно через зашифрованный канал. 2
4. Шифрование TLS прекращается на обоих концах. 2 Только резольвер и DNS-сервер могут интерпретировать незашифрованные DNS-данные. 2

Некоторые преимущества использования DNS-over-TLS для защиты конфиденциальности данных:

• Сквозное шифрование. 1 DNS-запросы шифруются от источника (клиента) до места назначения (DNS-резольвера). 1
• Целостность данных. 1 Протокол TLS гарантирует, что пакеты данных, как запросы, так и ответы, остаются неприкосновенными. 1
• Аутентификация сервера. 1 Когда клиент устанавливает TLS-соединение, он может проверить сертификат сервера, гарантируя, что он подключается к настоящему DNS-серверу, а не к его подделке. 1