Când tastezi o adresă de site în browser, prima operațiune care are loc este o interogare DNS — calculatorul tău întreabă un server: ce adresă IP are acest domeniu. Timp de decenii, această conversație s-a purtat în text complet clar, pe portul UDP 53, vizibilă pentru oricine se află pe parcurs: ISP-ul tău, administratorul rețelei de la serviciu, orice echipament de rețea intermediar. DNS-over-HTTPS (DoH) schimbă acest lucru fundamental — criptează interogările DNS și le ascunde în traficul HTTPS normal.

De ce DNS clasic este o problemă de intimitate

DNS a fost proiectat în 1983, când securitatea și intimitatea nu erau priorități ale internetului. Protocolul trimite interogările în text clar pe portul UDP 53. Consecințele practice în 2026:

  • ISP-ul tău vede tot: Chiar dacă accesezi un site prin HTTPS (conexiune criptată), ISP-ul vede interogarea DNS anterioară — știe că ai vizitat respectivul domeniu, chiar dacă nu vede conținutul conversației.
  • Administratorul rețelei: La serviciu, la școală sau în orice rețea publică, administratorul poate monitoriza toate domeniile la care te conectezi prin simpla inspecție a traficului DNS.
  • DNS hijacking: Un ISP sau un router compromis poate redirecționa interogările DNS către servere proprii, injectând reclame sau blocând site-uri.
  • DNS poisoning: Un atacator poate corupe cache-ul unui resolver DNS, astfel că un domeniu legitim (ex: banca ta online) rezolvă la o adresă IP falsă.

Un studiu din 2020 al Princeton University a arătat că ISP-urile din SUA monetizau datele DNS ale clienților. Practica nu este exclusivă — și nu există nicio garanție că ISP-ul tău din România nu face același lucru sau că nu poate fi obligat legal să divulge aceste date.

Cum funcționează DoH tehnic

DNS-over-HTTPS învelește interogarea DNS într-o cerere HTTPS standard. În loc să trimită o cerere UDP pe portul 53, browserul sau sistemul de operare trimite o cerere HTTPS POST pe portul 443 — același port folosit de orice site web. Din perspectiva rețelei, traficul DNS arată identic cu traficul web normal.

Formatul tehnic: cererea DNS este serializată în format DNS wireformat (binar) și trimisă ca payload al cererii HTTPS, cu Content-Type application/dns-message. Răspunsul vine în același format binar, criptat de TLS.

Avantajul principal: ISP-ul vede că te conectezi la serverul DoH (ex: 1.1.1.1 al Cloudflare), dar nu poate citi conținutul — nu știe ce domenii ai interogat. Interogarea DNS se pierde în fluxul normal de trafic HTTPS.

DoH vs DoT vs DNSSEC — ce protejează fiecare

ProtocolPortCriptareAscunde de ISPPrevine poisoning
DNS clasicUDP 53NuNuNu
DoHTCP 443HTTPS/TLSDaDa
DoTTCP 853TLSDaDa
DNSSECUDP 53NuNuDa (semnături)

DoH este mai ușor de adoptat de utilizatorii obișnuiți — funcționează în browser fără configurație de sistem. Traficul pe portul 443 este aproape imposibil de blocat fără a rupe navigarea web normală.

DoT folosește un port dedicat (853), ceea ce îl face mai ușor de identificat și de blocat de administratorii de rețea — avantaj în medii enterprise unde controlul DNS e necesar. Adopția DoT a accelerat în mediul enterprise în 2025–2026, mai ales după un ordin executiv al guvernului SUA care a mandatat criptarea DNS pentru sistemele federale (ianuarie 2025).

DNSSEC nu criptează interogările — adaugă semnături criptografice la răspunsuri, garantând că răspunsul DNS chiar vine de la serverul autoritar și nu a fost modificat în tranzit. Previne poisoning-ul, dar nu ascunde ce domenii accesezi.

Protecție optimală: DoH sau DoT combinat cu DNSSEC — criptare plus autentificare.

Provideri DoH recomandați în 2026

Nu orice resolver DoH e la fel. Alegerea resolverului determină cine primește datele tale DNS în schimbul anonimitizării față de ISP.

  • Cloudflare 1.1.1.1https://cloudflare-dns.com/dns-query. Cel mai rapid resolver global conform testelor independente. Politică de confidențialitate clară: nu vinde date DNS, șterge log-urile în 24 de ore. Oferă și variante cu filtrare: 1.1.1.2 (blochează malware) și 1.1.1.3 (blochează malware și conținut adult). Cloudflare oferă și ODoH (Oblivious DoH) prin aplicația 1.1.1.1 — o variantă unde nici măcar Cloudflare nu vede IP-ul tău.
  • Google 8.8.8.8https://dns.google/dns-query. Extrem de fiabil și rapid, menținut de Google cu SLA ridicat. Dezavantaj: Google are acces la interogările tale DNS, care se adaugă profilului de date pe care îl construiește deja prin Chrome, Search și Gmail.
  • NextDNShttps://dns.nextdns.io. Resolver personalizabil: poți activa liste de blocare pentru reclame și trackere, blocarea domeniilor malițioase, filtrare per dispozitiv. Plan gratuit pentru 300.000 interogări/lună, suficient pentru un utilizator obișnuit. Ideal pentru cei care vor să înlocuiască Pi-hole fără hardware suplimentar.
  • Quad9 9.9.9.9https://dns.quad9.net/dns-query. Blochează domeniile malițioase cunoscute pe baza unor surse multiple de threat intelligence. Politică strictă de confidențialitate, sediu în Elveția (jurisdicție favorabilă privacyului).

Cum activezi DoH în Windows 11

Windows 11 suportă DoH nativ la nivel de sistem, aplicându-se tuturor aplicațiilor, nu doar browserului.

Pașii: Setări → Rețea și Internet → Wi-Fi (sau Ethernet) → Proprietăți hardware → Editare server DNS. Schimbă serverul DNS preferat la 1.1.1.1 (sau 8.8.8.8). Windows 11 recunoaște automat IP-urile Cloudflare, Google și Quad9 și activează DoH. Pentru alți provideri, selectează opțiunea Manual template și introdu URL-ul DoH complet.

Verificare: poți confirma că DoH este activ accesând 1.1.1.1/help din browser — pagina va indica dacă interogările tale ajung criptate.

Cum activezi DoH în Chrome și Firefox

Google Chrome: Meniu (⋮) → Setări → Confidențialitate și securitate → Securitate. Derulează la secțiunea Folosește DNS securizat și activează opțiunea. Poți alege un provider din lista predefinită sau introduce un URL custom.

Mozilla Firefox activează DoH implicit din 2022 în România. Pentru a verifica sau a schimba providerul: Setări → Confidențialitate și securitate → DNS-over-HTTPS. Opțiunile disponibile sunt: Protecție sporită (fallback la DNS clasic dacă DoH eșuează) sau Protecție maximă (blochează accesul dacă DoH nu funcționează). Din oficiu, Firefox folosește Cloudflare, dar poți selecta NextDNS sau un URL custom.

Cum activezi DNS criptat pe Android

Android 9 (Pie) și versiunile ulterioare suportă DNS Privat (Private DNS) — care implementează DoT, nu DoH, dar obține același rezultat: interogări DNS criptate pentru toate aplicațiile de pe telefon.

Pași: Setări → Rețea și internet → DNS Privat. Selectează opțiunea Nume de gazdă furnizor DNS privat și introdu unul din hostname-urile de mai jos:

  • Cloudflare: one.one.one.one
  • Google: dns.google
  • NextDNS: yourprofile.dns.nextdns.io (din contul NextDNS)
  • Quad9: dns.quad9.net

Setarea se aplică global pe telefon, indiferent de rețeaua Wi-Fi sau date mobile folosită.

Limitările DoH — ce nu rezolvă

DoH este un instrument util, dar nu un scut complet de intimitate. Limitele sale importante:

  • Nu ascunde adresa IP a destinației: Chiar dacă interogarea DNS este criptată, când te conectezi efectiv la un server, adresa IP apare în pachetele de rețea — vizibilă pentru ISP. Tehnica ECH (Encrypted Client Hello, parte din TLS 1.3) extinde protecția și la nivelul SNI (indicatorul de hostname din TLS), dar adopția e încă în progres în 2026.
  • Nu e un VPN: DoH nu rutează traficul prin alt server și nu schimbă IP-ul tău public. Un VPN ascunde și destinația traficului — DoH ascunde doar interogarea DNS.
  • Providerul DoH vede interogările: Înlocuiești supravegherea ISP-ului cu supravegherea providerului DoH. Alegerea unui provider cu politici de confidențialitate verificate independent (Cloudflare, Quad9) este esențială.
  • Nu protejează alte protocoale: DoH activat în browser nu protejează interogările DNS ale altor aplicații de pe sistem, cu excepția cazului când e configurat la nivel de OS (Windows 11) sau Android (DNS Privat).

Concluzie practică pentru cititorul român

Activarea DoH este una din cele mai simple și mai impactante îmbunătățiri de intimitate pe care le poți face în câteva minute, fără niciun cost. Nu elimină toate riscurile de supraveghere, dar ridică semnificativ bara: ISP-ul tău nu mai știe automat ce site-uri vizitezi.

Primul pas recomandat: activează DoH în Firefox sau Chrome cu Cloudflare 1.1.1.1 sau NextDNS. Dacă folosești Windows 11, configurează DoH și la nivel de sistem. Pe Android, activează DNS Privat.

În episodul următor al seriei, mergem un pas mai departe: cum îți construiești un firewall real acasă, cu pfSense sau OPNsense pe un mini PC de câteva sute de euro — și ce câștigi față de routerul standard.

💿 Software
← Toate articolele
🌐
Serie de articole
Rețele și Internet
Vezi toate →
1 Cum funcționează internetul — de la cablu la browser 2 DNS — agenda telefonică a internetului 3 Wi-Fi: de la 802.11b la Wi-Fi 7 — ghid complet 4 VPN: mit vs. realitate — ce face și ce nu face un VPN 5 Cablu UTP vs fibra optică — cum călătoresc datele prin fir 6 IPv4, IPv6 și criza adreselor de internet 7 5G, fibra și viitorul conectivității — ce urmează după 5G
8 DNS-over-HTTPS: cum funcționează și de ce contează pentru intimitatea ta online Acum citești
9 Firewall acasă în 2026: pfSense, OPNsense și de ce routerul tău nu e suficient
← Ep.7: 5G, fibra și viitorul conectivității — ce urm… Ep.9: Firewall acasă în 2026: pfSense, OPNsense și … →
💬 Comentarii

Fii primul care comentează acest articol!

✍️ Lasă un comentariu
5 - 1 = ?