DNS over TLS (DoT) là giao thức bảo mật mã hóa các truy vấn và phản hồi DNS bằng giao thức Bảo mật lớp vận chuyển (TLS). Được thiết kế để tăng tính riêng tư và bảo mật cho các truy vấn DNS cũng như phản hồi của chúng, giao thức này hoạt động tương tự như DNS qua HTTPS (DoH) và được giới thiệu vào năm 2016. Giao thức này có sẵn trên tất cả các hệ điều hành phổ biến và thường giúp bảo vệ người dùng khỏi các hành vi vi phạm dữ liệu, rình mò, và các hình thức tấn công độc hại khác.
DoT hoạt động bằng cách thiết lập kết nối được mã hóa giữa máy khách và máy chủ DNS trước khi gửi truy vấn. Điều này cho phép máy chủ xác thực ứng dụng khách để đảm bảo rằng chỉ những yêu cầu hợp lệ mới được gửi. Trong quá trình đàm phán TLS, máy khách và máy chủ cũng đồng ý về một giao thức thuật toán mã hóa, được sử dụng để mã hóa dữ liệu trước khi truyền.
Mặc dù DoT được thiết kế để bảo vệ quyền riêng tư của các truy vấn DNS nhưng nó không đảm bảo tính ẩn danh của người dùng vì địa chỉ IP vẫn có thể bị hiển thị đối với những kẻ tấn công. Hơn nữa, vì DoT yêu cầu mã hóa nên nó hoạt động chậm hơn so với các truy vấn DNS văn bản gốc.
Nhìn chung, DNS over TLS là một giao thức bảo mật cung cấp lớp bảo vệ bổ sung cho các truy vấn DNS và phản hồi tương ứng của chúng. Nó cung cấp sự riêng tư và bảo mật cao hơn cho người dùng nhưng không đảm bảo tính ẩn danh của người dùng. Do đó, nó có thể cung cấp một biện pháp bảo vệ có giá trị chống lại các hành vi vi phạm dữ liệu, rình mò và các cuộc tấn công độc hại khác.
