Tanpa DoH, setiap kali Anda mengetik alamat web, permintaan tersebut dikirim dalam bentuk teks biasa (plain text), yang berarti siapa pun di jalur koneksi (seperti ISP atau penyedia Wi-Fi publik) bisa melihat situs apa yang Anda kunjungi.
Berikut adalah penjelasan mendalam mengenai cara kerja dan manfaatnya:
1. Cara Kerja: Tradisional vs. DoH
Dalam DNS tradisional (Port 53), prosesnya seperti mengirim kartu pos melalui pos—siapa pun yang memegang kartu itu bisa membaca isinya.
Dengan DoH (Port 443), prosesnya berubah:
- Enkripsi: Permintaan DNS Anda dibungkus dalam enkripsi TLS (sama seperti saat Anda mengakses perbankan online).
- Kamuflase: Karena menggunakan port HTTPS standar, lalu lintas DNS Anda terlihat persis seperti lalu lintas browsing web biasa. ISP tidak bisa membedakan mana permintaan DNS dan mana data web lainnya.
- Resolusi: Permintaan dikirim ke penyedia DNS yang mendukung DoH (seperti Cloudflare atau Google), didekripsi di sana, dan alamat IP dikembalikan kepada Anda melalui jalur terenkripsi yang sama.
2. Mengapa Ini Penting? (Sisi Keamanan & Privasi)
- Anti-Eavesdropping (Penyadapan): ISP atau peretas di jaringan Wi-Fi publik tidak bisa lagi mencatat riwayat situs yang Anda buka.
- Mencegah DNS Spoofing: Teknik ini sering digunakan peretas untuk mengarahkan Anda ke situs palsu. Dengan DoH, integritas data terjamin karena adanya sertifikat digital dalam protokol HTTPS.
- Melewati Sensor/Blokir: Karena permintaan DNS tersembunyi di dalam lalu lintas HTTPS, teknik pemblokiran situs berdasarkan DNS (seperti yang sering dilakukan di tingkat ISP) menjadi jauh lebih sulit dilakukan.
3. Kelemahan yang Perlu Diketahui
Meskipun sangat aman, ada beberapa hal yang perlu dipertimbangkan:
Konsentrasi Data: Jika semua orang menggunakan DNS milik Google atau Cloudflare, maka perusahaan tersebut memiliki data besar tentang aktivitas internet dunia (meskipun mereka berjanji menghapus log dalam 24 jam).
Sedikit Lebih Lambat: Karena ada proses enkripsi tambahan (handshake TLS), terkadang ada sedikit peningkatan latensi, meskipun biasanya tidak terasa pada penggunaan harian.
4. Cara Mengaktifkan di Kubuntu (Firefox)
Firefox adalah salah satu pionir yang mendukung DoH secara langsung. Untuk mencobanya di laptop Anda:
- Buka Firefox > Settings.
- Cari "DNS" di kolom pencarian.
- Klik Settings pada bagian "Network Settings".
- Gulir ke bawah dan centang Enable DNS over HTTPS.
- Pilih penyedia (misalnya Cloudflare atau NextDNS).
5. DNS over TLS (DoT) vs. DNS over HTTPS (DoH)
Anda mungkin juga akan mendengar istilah DoT. Perbedaannya tipis:
- DoT menggunakan port khusus (853). Ini lebih mudah diblokir oleh admin jaringan/negara karena portnya spesifik.
- DoH menyamar sebagai lalu lintas web (443), sehingga hampir mustahil diblokir tanpa mematikan akses internet secara keseluruhan.
Konfigurasi Parsial
Berikut adalah cara mengonfigurasinya pada beberapa jenis aplikasi yang biasanya memiliki urgensi privasi tinggi:
1. Browser (Firefox, Chrome, Brave)
Ini adalah aplikasi paling krusial karena hampir semua aktivitas data terjadi di sini. Browser modern memiliki fitur "Private DNS" bawaan yang tidak memengaruhi aplikasi lain di Kubuntu.
Firefox: Settings > Network Settings > Enable DNS over HTTPS (Pilih Increased Protection atau Max Protection).
Chrome/Brave: Settings > Privacy and Security > Security > Use Secure DNS.
2. Aplikasi Berbasis Terminal (misal: curl atau wget)
Jika Anda sering mengunduh file atau melakukan scripting dan ingin aktivitas tersebut tersembunyi dari ISP, Anda tidak perlu mengubah setelan sistem. Anda bisa menggunakan alat bernama HTTPS-DNS-Proxy atau cukup gunakan environment variable jika aplikasi mendukungnya.
Namun, cara termudah untuk aplikasi terminal adalah menggunakan Proxychains yang digabung dengan DoH, atau menentukan server DNS secara manual saat menjalankan perintah (jika didukung).
3. Aplikasi Spesifik (menggunakan DNS-over-HTTPS Client)
Jika Anda ingin aplikasi tertentu (misalnya Telegram Desktop atau aplikasi Torrent) menggunakan DoH tanpa mengubah seluruh sistem Kubuntu, Anda bisa menjalankan Local DoH Proxy.
- Install dnscrypt-proxy: sudo apt install dnscrypt-proxy
- Setel dnscrypt-proxy agar berjalan di port lokal (misal: 127.0.0.53).
- Di dalam aplikasi yang memiliki pengaturan Network/Proxy, masukkan:
Port: 53 (atau port yang Anda setel).
4. Menggunakan Kontainer (Docker)
Jika Anda menjalankan aplikasi di dalam Docker (seperti server media atau bot), Anda bisa menentukan DNS DoH khusus hanya untuk kontainer tersebut di dalam file docker-compose.yml:
services:
app-rahasia:
image: my-app
dns:
- 1.1.1.1 # Cloudflare
- 8.8.8.8
Mengapa Memilih Parsial?
Kompatibilitas: Beberapa portal Wi-Fi (seperti di kampus atau kantor) akan memblokir koneksi jika Anda menggunakan DoH secara global. Dengan cara parsial, Anda masih bisa login ke Wi-Fi tersebut lewat browser standar, sementara aplikasi lain tetap terlindungi.
Debugging: Jika koneksi internet bermasalah, Anda lebih mudah melacak apakah masalahnya ada pada DoH atau pada koneksi fisik ISP Anda.
Tips Keamanan Tambahan: "Kill Switch" Sederhana
Jika urgensi Anda adalah agar aplikasi tersebut tidak boleh terkoneksi sama sekali jika DNS-nya tidak aman, Anda bisa menggunakan UFW (Uncomplicated Firewall) yang sudah kita aktifkan tadi untuk memblokir port 53 (DNS standar) hanya untuk pengguna tertentu, tapi ini agak teknis.
DoH vs VPN
Perbedaan antara DoH dan VPN sering kali membingungkan karena keduanya sama-sama menggunakan enkripsi. Namun, cakupan dan cara kerjanya sangat berbeda.
Bayangkan Anda ingin mengirim surat dari rumah (laptop) ke sebuah toko (website).
1. DNS over HTTPS (DoH)
DoH hanya mengenkripsi "Buku Alamat" Anda.
Analogi: Saat Anda ingin ke toko, Anda bertanya pada petugas informasi (DNS) di mana alamat toko tersebut. Tanpa DoH, pertanyaan ini diteriakkan di tempat umum sehingga semua orang tahu Anda mau ke toko apa. Dengan DoH, pertanyaan itu ditulis dalam surat rahasia.
Cakupan: Hanya melindungi proses pencarian alamat (resolusi domain). Setelah alamat ketemu, sisa perjalanan data Anda (seperti apa yang Anda beli di toko itu) tidak dilindungi oleh DoH (walaupun biasanya dilindungi oleh HTTPS website itu sendiri).
Alamat IP: Alamat IP asli Anda tetap terlihat oleh website yang dikunjungi.
2. VPN (Virtual Private Network)
VPN mengenkripsi "Seluruh Perjalanan" Anda.
Analogi: Anda masuk ke dalam mobil lapis baja (terowongan terenkripsi) dari pintu rumah langsung sampai ke gudang pusat VPN. Orang di luar tidak tahu Anda pergi ke mana, membawa apa, atau siapa Anda.
Cakupan: Melindungi seluruh lalu lintas data yang keluar-masuk dari laptop Anda, termasuk DNS, browsing, aplikasi chat, hingga update sistem.
Alamat IP: Alamat IP asli Anda disembunyikan dan diganti dengan alamat IP server VPN.
Tabel Perbandingan Cepat
| Fitur | DNS over HTTPS (DoH) | VPN (Virtual Private Network) |
| Apa yang dienkripsi? | Hanya kueri DNS (pencarian domain). | Seluruh koneksi internet. |
| Sembunyikan IP? | Tidak. | Ya. |
| Kecepatan | Sangat cepat (hampir tidak ada beban). | Sedikit lebih lambat (karena enkripsi berat). |
| Bypass Geoblocking | Terkadang (jika blokir hanya di level DNS). | Ya (bisa pindah negara secara virtual). |
| Konfigurasi | Bisa per aplikasi (misal: hanya browser). | Biasanya mencakup seluruh sistem. |
Mana yang Harus Anda Gunakan?
Gunakan DoH jika Anda hanya ingin privasi dari intipan ISP tentang situs apa yang Anda buka, tanpa ingin memperlambat koneksi atau jika Anda hanya butuh perlindungan di aplikasi tertentu saja.
Gunakan VPN jika Anda berada di jaringan Wi-Fi publik yang sangat tidak aman, ingin membuka konten yang diblokir secara geografis, atau butuh anonimitas total.