DoT и DoH - в чем разница?
🔹 DNS-over-TLS (DoT) - специальная реализация протокола DNS c TLS защитой. Согласно стандарта для этой службы выделен отдельный порт 853. Технически это инкапсуляция стандартных DNS-запросов в TLS.
🟢 Из плюсов - лучшая управляемость, так как благодаря отдельному порту системные администраторы могут контролировать использование этого протокола.
Еще один плюс - хорошая обратная совместимость, не нужно переписывать софт, так как используются стандартные запросы, нужно только реализовать поддержку TLS.
🔴 Из минусов - обратная сторона плюсов, DoT трафик легко перехватить и заблокировать (но не расшифровать).
🔹 DNS-over-HTTPS (DoH) - принципиально иная реализация защиты DNS, когда поставлена цель сделать DNS-запросы неотличимыми от обычного HTTPS-трафика.
В DoH для передачи DNS-запросов используется протокол HTTP/2 и по сути это некое веб API для передачи DNS данных. Поэтому отличить DoH от обычного HTTPS трафика решительно невозможно.
🟢 Из плюсов - невозможно отличить от HTTPS трафика и осуществлять выборочный перехват и блокировку DNS-запросов
🔴 Из минусов - серьезные затруднения для системных администраторов, которые не могут выделять и контролировать DNS-запросы пользователей.
Второй минус - необходимость серьезной доработки софта, так как вместо стандартных запросов требуется реализовать поддержку работы с HTTP/2
