Setiap kali Anda mengetik alamat website di browser, ada proses tersembunyi yang terjadi dalam hitungan milidetik: komputer Anda mengirimkan permintaan ke server DNS untuk menerjemahkan nama domain menjadi alamat IP. Yang mengkhawatirkan, permintaan ini selama bertahun-tahun dikirim dalam bentuk teks biasa yang bisa dibaca siapa saja termasuk ISP, administrator jaringan, atau bahkan peretas di jaringan WiFi publik. DNS over HTTPS (DoH) hadir untuk mengubah lanskap keamanan internet secara fundamental.

Memahami Kerentanan DNS Tradisional

Dengan tools sederhana seperti Wireshark, tim kami bisa melihat seluruh aktivitas browsing karyawan situs apa yang dikunjungi, kapan aksesnya, bahkan frekuensi kunjungan ke platform tertentu. Semua informasi ini mengalir tanpa enkripsi sama sekali.

DNS atau Domain Name System bekerja seperti buku telepon internet. Ketika Anda mengetik "tokopedia.com", sistem perlu mencari tahu alamat IP sebenarnya (misalnya 103.66.55.200) untuk menghubungkan Anda. Proses ini menggunakan protokol UDP port 53 yang sejak diciptakan tahun 1983 tidak pernah dirancang dengan keamanan sebagai prioritas utama.

Dampaknya cukup serius. ISP dapat mencatat seluruh riwayat browsing Anda untuk dijual ke pengiklan. Pemerintah tertentu menggunakan informasi DNS untuk menyensor konten. Peretas di jaringan publik bisa melakukan DNS spoofing, mengarahkan Anda ke situs palsu yang terlihat identik dengan yang asli.

Cara Kerja DNS over HTTPS

DoH mengambil pendekatan elegan: ia membungkus permintaan DNS dalam protokol HTTPS yang sama digunakan untuk mengamankan transaksi perbankan online dan e-commerce. Alih-alih mengirim permintaan ke port 53, DoH mengirimkannya ke port 443 port standar HTTPS yang terenkripsi.

Prosesnya bekerja sebagai berikut:

  1. Browser atau sistem operasi menerima permintaan untuk mengakses suatu domain
  2. Permintaan DNS dikemas dalam format HTTPS dan dienkripsi menggunakan TLS
  3. Paket terenkripsi dikirim ke resolver DoH (seperti Cloudflare 1.1.1.1 atau Google 8.8.8.8)
  4. Resolver menerjemahkan domain ke IP dan mengirim respons terenkripsi kembali
  5. Browser mendekripsi respons dan melanjutkan koneksi ke server tujuan

Dari perspektif pengamat di jaringan, mereka hanya melihat traffic HTTPS biasa ke server Cloudflare atau Google tidak bisa membedakan apakah itu permintaan DNS atau aktivitas browsing normal lainnya.

Perbandingan DoH dengan Alternatif Lainnya

Perbandingan DNS Tradisional, DNS over TLS (DoT), dan DNS over HTTPS (DoH)

Port yang Digunakan

  1. DNS Tradisional menggunakan UDP port 53.
  2. DNS over TLS (DoT) menggunakan TCP port 853.
  3. DNS over HTTPS (DoH) menggunakan TCP port 443, sama seperti trafik web HTTPS biasa.

Tingkat Enkripsi

  1. DNS Tradisional tidak memiliki enkripsi, sehingga query dapat dibaca oleh pihak lain di jaringan.
  2. DNS over TLS menggunakan enkripsi TLS untuk melindungi komunikasi DNS.
  3. DNS over HTTPS menggunakan HTTPS/TLS, sehingga query DNS terenkripsi seperti trafik web biasa.

Kemudahan untuk Diblokir

  1. DNS Tradisional sangat mudah diblokir karena menggunakan port standar yang jelas.
  2. DNS over TLS juga relatif mudah diblokir karena menggunakan port khusus (853).
  3. DNS over HTTPS sangat sulit diblokir karena berjalan di port 443 yang sama dengan trafik HTTPS normal.

Kompatibilitas dengan Firewall

  1. DNS Tradisional memiliki kompatibilitas firewall yang tinggi karena hampir semua jaringan mendukungnya.
  2. DNS over TLS memiliki kompatibilitas lebih rendah karena beberapa firewall tidak mengizinkan port 853.
  3. DNS over HTTPS memiliki kompatibilitas tinggi karena menggunakan port HTTPS standar (443).

Adopsi oleh Browser

  1. DNS Tradisional adalah metode default yang digunakan oleh sebagian besar sistem operasi.
  2. DNS over TLS memiliki adopsi terbatas, biasanya digunakan di tingkat sistem atau resolver tertentu.
  3. DNS over HTTPS sudah diadopsi oleh beberapa browser modern seperti Mozilla Firefox, Google Chrome, dan Microsoft Edge.

DNS over TLS (DoT) sebenarnya muncul lebih dulu dan secara teknis sama amannya. Namun, penggunaan port khusus 853 membuatnya mudah diidentifikasi dan diblokir oleh administrator jaringan atau pemerintah. DoH menyamar sebagai traffic web biasa, membuatnya hampir mustahil untuk diblokir tanpa mematikan seluruh akses HTTPS.

Implementasi DoH di Berbagai Platform

Adopsi DoH mengalami percepatan signifikan sejak 2020. Mozilla Firefox menjadi pelopor dengan mengaktifkan DoH secara default untuk pengguna di Amerika Serikat pada Februari 2020. Google Chrome menyusul dengan pendekatan lebih konservatif, mengaktifkan DoH hanya jika provider DNS pengguna sudah mendukung protokol tersebut.

Untuk mengaktifkan DoH di browser, langkah-langkahnya cukup sederhana:

  1. Firefox: Settings → Privacy & Security → Enable DNS over HTTPS → pilih provider (Cloudflare, NextDNS, dll)
  2. Chrome: Settings → Privacy and Security → Security → Use secure DNS → pilih provider
  3. Edge: Settings → Privacy, search, and services → Security → Use secure DNS

Di level sistem operasi, Windows 11 sudah mendukung DoH secara native. Pengguna Android 9 ke atas bisa menggunakan fitur "Private DNS" yang sebenarnya adalah DoT, meski beberapa custom ROM sudah mendukung DoH. iOS 14 dan macOS Big Sur juga menambahkan dukungan DoH pada level sistem.

Kontroversi dan Resistensi terhadap DoH

Tidak semua pihak menyambut DoH dengan antusias. ISP di berbagai negara termasuk Indonesia melihat DoH sebagai ancaman terhadap kemampuan mereka menegakkan kebijakan filtering konten. Ketika DNS tidak bisa diintip, pemblokiran situs berdasarkan DNS menjadi tidak efektif.

Pada tahun 2019, Internet Service Providers' Association (ISPA) di Inggris bahkan menominasikan Mozilla sebagai "Internet Villain" karena implementasi DoH. Mereka berargumen bahwa DoH mempersulit pemblokiran konten ilegal dan membahayakan keamanan anak. Mozilla akhirnya menunda peluncuran default DoH di Inggris dan bekerja sama dengan regulator setempat.

Dari perspektif administrator jaringan perusahaan, DoH juga menimbulkan tantangan. Ketika karyawan menggunakan DoH, tim IT kehilangan visibilitas terhadap aktivitas DNS yang biasanya digunakan untuk mendeteksi malware atau memblokir akses ke situs berbahaya. Beberapa organisasi bahkan memblokir traffic ke resolver DoH publik untuk mempertahankan kontrol.

Keterbatasan yang Perlu Dipahami

Penting untuk memahami bahwa DoH bukan solusi privasi sempurna. Ada beberapa keterbatasan yang sering disalahpahami:

SNI tetap terekspos: Meski permintaan DNS terenkripsi, tahap TLS handshake masih memperlihatkan Server Name Indication (SNI) informasi tentang domain yang ingin diakses. Encrypted Client Hello (ECH) sedang dikembangkan untuk mengatasi ini, tapi adopsinya masih sangat terbatas.

Resolver DoH bisa melihat aktivitas: Anda memindahkan kepercayaan dari ISP ke operator resolver DoH. Cloudflare atau Google kini tahu situs apa yang Anda kunjungi. Meski mereka mengklaim tidak menyimpan log, ini tetap menjadi pertimbangan.

Tidak melindungi dari website tracking: DoH hanya mengenkripsi permintaan DNS. Cookie, fingerprinting, dan teknik tracking lainnya tetap berfungsi normal.

Resolver DoH Terpercaya untuk Pengguna Indonesia

Memilih resolver DoH yang tepat mempengaruhi kecepatan dan privasi. Berikut beberapa opsi yang layak dipertimbangkan:

  1. Cloudflare 1.1.1.1: Tercepat berdasarkan benchmark independen, berkomitmen tidak menjual data, audit keamanan rutin oleh pihak ketiga
  2. Google 8.8.8.8: Reliabel dan cepat, meski Google menggunakan data untuk meningkatkan layanan mereka
  3. Quad9 9.9.9.9: Fokus pada keamanan dengan pemblokiran domain malicious, non-profit, berbasis di Swiss
  4. NextDNS: Kustomisasi tinggi termasuk ad-blocking, tersedia opsi gratis dan berbayar

Cloudflare konsisten memberikan latensi terendah karena memiliki point of presence di Jakarta. Google juga performanya baik, sementara Quad9 sedikit lebih lambat tapi menawarkan perlindungan tambahan terhadap domain berbahaya.

Masa Depan Privasi DNS

DoH adalah langkah signifikan, tapi evolusi terus berlanjut. Oblivious DNS over HTTPS (ODoH) menambahkan lapisan proxy antara pengguna dan resolver, sehingga resolver tidak mengetahui siapa yang membuat permintaan. Cloudflare dan Apple sudah mendukung protokol ini.

IETF juga sedang mengembangkan DNS over QUIC (DoQ) yang menjanjikan latensi lebih rendah dibanding DoH berkat protokol QUIC yang menggantikan TCP. Meski adopsinya masih sangat awal, DoQ berpotensi menjadi standar baru dalam beberapa tahun ke depan.

Yang menarik, perlawanan terhadap DoH dari ISP dan regulator justru mempercepat adopsi. Semakin banyak pengguna yang sadar tentang privasi DNS, semakin sulit bagi pihak yang ingin mempertahankan status quo. Pada akhirnya, enkripsi DNS akan menjadi default bukan pengecualian sama seperti HTTPS yang kini mendominasi web.

Bagi pengguna biasa, mengaktifkan DoH adalah salah satu langkah paling mudah untuk meningkatkan privasi online. Prosesnya memakan waktu kurang dari satu menit, tidak mempengaruhi kecepatan browsing secara signifikan, dan memberikan perlindungan nyata terhadap pengintaian pasif. Di era di mana data adalah komoditas, setiap lapisan perlindungan menjadi semakin berharga.