DoH ve DoT: Şifreli DNS ile Gizlilik ve Güvenlik

DoH ve DoT: Şifreli DNS ile Gerçek Hayatta Gizlilik ve Güvenlik

Bilgisayarınızdan çıkan her HTTPS isteği şifreli; ama o isteğin gittiği "buyukweb.com" adresinin IP'sini öğrenmek için yapılan DNS sorgusu, klasik kurulumda hâlâ açık metin uçar. Yani siteyi açtığınız anda içeriği kimse okuyamaz, fakat hangi siteyi açtığınızı ağ üzerinde herkes görebilir: ISP, otelin Wi-Fi yöneticisi, ortadaki transit ağ, hatta zayıf zincirde MITM yapabilen bir saldırgan. DoH (DNS over HTTPS) ve DoT (DNS over TLS) bu açığı kapatmak için tasarlandı. Buyukweb müşterilerinden gelen "1.1.1.1 yeter mi?" ve "kendi DoH sunucumu kursam mı?" sorularına bu yazıda pratik cevap arayacağım.

Önce Tehdit Modeli: Klasik DNS Neden Zayıf?

Klasik DNS sorgusu UDP/53 üzerinden, imzasız ve şifresiz gider. Pratikte bu üç farklı saldırı sınıfını mümkün kılar:

• Pasif gözetim: ISP, kurumsal ağ yöneticisi veya otel Wi-Fi loglayıcısı; sorduğunuz domain'i (örneğin ornek-banka.com) kayıt altına alabilir. Sonraki adımda HTTPS şifreli olsa bile, "hangi siteye gittiğiniz" zaten ifşa olmuştur.
• Aktif manipülasyon (DNS spoofing / cache poisoning): Saldırgan, resolver'a sahte yanıt enjekte ederek bir domain'i kendi sunucusuna yönlendirebilir. Kaminsky'nin 2008'de gösterdiği klasik cache poisoning saldırısı bu kategoriye girer ve hâlâ zayıf konfigürasyonlarda işe yarar.
• Sansür / DNS-level blokaj: Türkiye dahil pek çok ülkede ISP, belirli domain'ler için DNS düzeyinde "yok" yanıtı döndürür. Klasik DNS bu manipülasyonu engelleyemez; çünkü ISP zaten varsayılan resolver'dır.

Aynı sorgu DoT veya DoH ile şifrelendiğinde, bu üç kategori büyük oranda kapanır. "Büyük oranda" diyorum, çünkü tamamen değil; ESNI/ECH yoksa SNI alanı hâlâ TLS handshake içinde açık metin görünür ve trafik analizi tamamen yok olmaz. Ama dürüst söylemek gerekirse, bugün şifreli DNS'i devreye almamak için pratik bir gerekçe kalmadı.

DoT (DNS over TLS, RFC 7858)

DoT, klasik DNS sorgusunu standalone TLS tüneli içinde, port 853 üzerinden taşır. Sorgu paketi formatı klasik DNS ile aynı; sadece taşıma katmanı şifrelendi.

Klasik DNS:    Client → UDP/53 → Resolver       (plaintext)
DoT:           Client → TCP/853 (TLS) → Resolver  (şifreli)

Avantajları:

• Network-wide etkinleştirme kolay: Router, sistem stub resolver veya VDS üzerindeki forwarder ile tüm cihazlarınızı arkasına alabilirsiniz.
• Debug edilebilir: Port 853 ayrık olduğu için ağ yöneticisi "DoT mu klasik DNS mi" ayrımını net yapar; loglama, kotalama, bandwidth gözlemi temiz.
• Android 9+ "Private DNS" ayarı resmî olarak DoT'u destekler — tek tık etkinleştirme.

Dezavantajları:

• Port 853 firewall'da kapatılırsa çalışmaz. Bazı kurumsal ağlar veya kısıtlı Wi-Fi'lar 853'ü filtreler. Bu durumda DoT'a düşer ve fallback gerekir.
• DPI (Deep Packet Inspection) gözünde "ben DoT'um" diye görünür; trafiği gizlemez, sadece içeriğini şifreler.

DoH (DNS over HTTPS, RFC 8484)

DoH, sorguyu doğrudan HTTPS isteği gibi paketleyip port 443 üzerinden gönderir. Endpoint genelde /dns-query, taşıma HTTP/2 veya HTTP/3 olabilir.

DoH istek (Cloudflare):
GET /dns-query?dns=<base64-encoded-query> HTTP/2
Host: cloudflare-dns.com
Accept: application/dns-message

Avantajları:

• Trafik genel HTTPS akışıyla karışır; DPI cihazı için "bu sorgu DNS mi yoksa normal HTTPS mi" ayrımı zor. Sansürü aşma açısından DoT'tan daha gizlenebilir.
• Application-level kontrol: Firefox, Chrome, Edge kendi DoH resolver'ını seçebilir; sistem ayarından bağımsız.

Dezavantajları:

• Fragmentation: Her uygulama kendi resolver'ını kullanırsa ağ yöneticisinin merkezî DNS politikası (ad-blocking, kurumsal filtre) baypas edilir. BYOD ortamlarda bu ciddi bir tartışma konusu.
• Debugging zor: nslookup gibi klasik araçlar DoH trafiğini göstermez; Wireshark TLS dump veya kdig +https gibi özel araçlar gerekir.

DoH vs DoT Karşılaştırması

Konu	DoT	DoH
Port	853 (TCP)	443 (TCP)
Protokol	Standalone TLS + DNS	HTTPS (HTTP/2 veya HTTP/3)
Gizlenebilirlik (DPI)	Düşük (port 853 ayrık)	Yüksek (HTTPS içinde karışık)
Network-wide kurulum	Kolay (router/stub)	Zor (per-app yapılandırma)
Performans	Hafifçe daha düşük overhead	HTTP başlıkları nedeniyle az daha ağır
Debugging	Kolay (port ayrık)	Zor (özel araç gerek)
Mobil platform desteği	Android 9+ native	Browser-level (sistem geneli sınırlı)

Pratik özet: Network-wide tek nokta yapılandırma istiyorsanız DoT (router veya VDS üstü stub resolver), sansür/DPI ortamında gizlenmek istiyorsanız DoH. İkisini birlikte kullanmak da mümkün; AdGuard Home gibi yazılımlar her iki frontend'i de açar.

DoQ ve ODoH: Yeni Kuşak

DoQ (DNS over QUIC, RFC 9250): UDP üzerinde TLS/QUIC kullanır. DoT'un QUIC'e taşınmış hali, 0-RTT handshake desteği ile ilk sorgu gecikmesini düşürür. Adoption hâlâ düşük; AdGuard DNS ve Cloudflare deneysel destek veriyor.

ODoH (Oblivious DoH): Cloudflare ve Fastly'nin geliştirdiği bir modelde, sorgu önce bir relay'e gider, oradan resolver'a iletilir. Resolver kim olduğunuzu bilmez (IP'nizi görmez), relay sorgu içeriğini okuyamaz (şifreli). Privacy spektrumunda en güçlü çözüm; ama destekleyen istemci hâlâ az.

Yeni başlayan kullanıcılar için bu iki protokol henüz pratik gündem değil; DoH/DoT olgun ve yaygın seçeneklerdir. ODoH kritik gizlilik gereksinimleri olan kullanıcılar için kafada tutulmalı.

Public Resolver Seçenekleri

Türkiye'den erişilebilen, DoH/DoT destekleyen ana resolver'lar:

Cloudflare 1.1.1.1 / 1.0.0.1
  DoH: https://cloudflare-dns.com/dns-query
  DoT: 1.1.1.1@853  (tls_auth_name: cloudflare-dns.com)
  Log politikası: 24 saat sonra silinir, KPMG denetimli

Quad9 9.9.9.9
  DoH: https://dns.quad9.net/dns-query
  DoT: 9.9.9.9@853  (tls_auth_name: dns.quad9.net)
  Özellik: Bilinen malware/phishing domain'lerini bloklar

Google 8.8.8.8 / 8.8.4.4
  DoH: https://dns.google/dns-query
  DoT: 8.8.8.8@853  (tls_auth_name: dns.google)
  Anycast altyapısı küresel

AdGuard DNS
  DoH: https://dns.adguard-dns.com/dns-query
  Özellik: Reklam ve tracker domain'lerini bloklar (filtering)

Privacy odaklı public DNS
  DoH: privacy odaklı resolver DoH endpoint
  Özellik: Privacy odaklı, log tutmaz, ücretsiz public erişim

Türkiye merkezli ISP DNS'leri (TT vb.) çoğunlukla DoH/DoT desteksizdir; klasik 53/UDP ile çalışırlar. Bu, bilinçli kullanıcının dış public resolver'a yönelmesinin pratik sebebidir.

Buyukweb perspektifi: Buyukweb, public DNS resolver hizmeti vermiyor; ns1.buyukweb.com ve ns2.buyukweb.com authoritative DNS'tir, yani sadece kendi müşterilerinin domain'lerine yetkili yanıt döndürür. Yani "Buyukweb DoH kullansam" diye bir senaryo yok; ama VDS sunucu paketleri üzerinde dnsdist veya AdGuard Home ile kendi DoH/DoT sunucunuzu dakikalar içinde kurabilirsiniz. Aşağıda iki örnek konfigürasyon var.

İstemci Yapılandırma: Tarayıcı ve İşletim Sistemi

Firefox (DoH)

about:preferences → General → Network Settings → Settings
  ✓ Enable DNS over HTTPS
  Use Provider: Cloudflare (varsayılan) veya Custom

Firefox 2019'dan beri DoH'u resmî destekliyor; varsayılan provider Cloudflare.

Chrome / Edge (DoH)

Settings → Privacy and Security → Security → Use secure DNS
  ○ With current service provider (eğer ISP DoH destekliyorsa)
  ● With Cloudflare (1.1.1.1) / Google / Quad9 / Custom

Chrome ve Edge listeden seçilen provider'la veya custom URL ile DoH'u açar. Kurumsal politikalarla devre dışı bırakılabilir.

Android 9+ (DoT)

Settings → Network & Internet → Private DNS
  ● Private DNS provider hostname:
    1dot1dot1dot1.cloudflare-dns.com   (Cloudflare DoT)
    dns.google                           (Google DoT)
    dns.quad9.net                        (Quad9 DoT)

Android'in "Private DNS" özelliği RFC 7858 DoT'u sistem geneli açar; her uygulama otomatik kullanır.

iOS / macOS

iOS ve macOS native arayüzde "DoH/DoT" toggle'ı yoktur; Configuration Profile (.mobileconfig) yüklenmesi gerekir. Cloudflare'in 1.1.1.1 uygulaması veya AdGuard / NextDNS profili tek tık kurulum sağlar. macOS Ventura sonrası sistem ayarlarından seçim mümkün hâle geldi.

Windows 11 (DoH)

Settings → Network & Internet → (Adapter) → DNS server assignment → Edit
  IPv4: Manual
    Preferred: 1.1.1.1
    DNS over HTTPS: On (automatic template)

Windows 11 native DoH desteğini 22H2 ile getirdi; Windows 10'da PowerShell üzerinden manuel template ayarlanabilir.

Linux (systemd-resolved DoT)

# /etc/systemd/resolved.conf
[Resolve]
DNS=1.1.1.1#cloudflare-dns.com 9.9.9.9#dns.quad9.net
DNSOverTLS=yes
DNSSEC=allow-downgrade

systemctl restart systemd-resolved
resolvectl status   # DoT aktif mi kontrol

systemd-resolved DoT desteğini çoğu modern dağıtımda hazır olarak getirir. Daha esnek senaryolar için Stubby veya dnsdist kullanılır.

Sunucu Tarafı: Kendi DoH/DoT Sunucunuz

Senaryo 1: Pi-hole + cloudflared (Ev Ağı, Reklam Engelleme)

Pi-hole klasik DNS sunucusudur; cloudflared'i upstream olarak ekleyince DoH proxy'si elde edersiniz.

# cloudflared kur (ARM cihaz için Pi-hole donanımı)
wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-arm64.deb
dpkg -i cloudflared-linux-arm64.deb

# /etc/default/cloudflared
CLOUDFLARED_OPTS=--port 5053 --upstream https://1.1.1.1/dns-query --upstream https://1.0.0.1/dns-query

systemctl enable cloudflared
systemctl start cloudflared

# Pi-hole panel → Settings → DNS → Custom 1: 127.0.0.1#5053

Bu kurulumla evdeki tüm cihazlar Pi-hole'a, Pi-hole DoH ile Cloudflare'e bağlanır. Reklam/tracker engelleme + şifreli upstream tek pakette.

Senaryo 2: AdGuard Home (Tek Kutu, DoH/DoT Server)

AdGuard Home, frontend olarak hem klasik DNS hem DoH hem DoT açabilen tek-kutu çözümüdür; Buyukweb VDS üzerinde kurulup ailecek/şirket içinde resolver olarak kullanılabilir.

# VDS üzerinde
curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh

# Setup wizard 3000 portu üzerinden:
# - DNS port: 53
# - DoH: https://dns.ornek-firma.com/dns-query (port 443, Let's Encrypt cert)
# - DoT: dns.ornek-firma.com:853

# Cert için DNS-01 challenge ile Let's Encrypt (örnek certbot komutu)
certbot certonly --dns-cloudflare -d dns.ornek-firma.com

AdGuard Home'un web arayüzünden filtre listesi (EasyList, AdGuard Türkçe) etkinleştirildiğinde, hem reklam engelleme hem şifreli DNS tek panelden yönetilir.

Senaryo 3: dnsdist (Profesyonel, Yüksek Trafik)

PowerDNS'in dnsdist'i ölçeklenebilir DoH/DoT/DoQ frontend sunar. Buyukweb VDS sahibi, kendi domain'i altında resolver kurmak isteyenler için en sağlam çözüm.

-- /etc/dnsdist/dnsdist.conf
addLocal('0.0.0.0:53')

-- DoT (port 853)
addTLSLocal('0.0.0.0:853', '/etc/letsencrypt/live/dns.ornek.com/fullchain.pem',
            '/etc/letsencrypt/live/dns.ornek.com/privkey.pem')

-- DoH (port 443, /dns-query endpoint)
addDOHLocal('0.0.0.0:443', '/etc/letsencrypt/live/dns.ornek.com/fullchain.pem',
            '/etc/letsencrypt/live/dns.ornek.com/privkey.pem',
            { '/dns-query' })

-- Upstream: Unbound veya doğrudan public resolver
newServer({ address = '127.0.0.1:5353', name = 'unbound-local' })

dnsdist arkasında Unbound recursive resolver çalıştırırsanız, public resolver'a hiç bağımlı kalmadan tam egemen şifreli DNS altyapısına sahip olursunuz. Buyukweb VDS'inde 2 vCPU + 4 GB RAM bu kurulum için yeterli.

Performans: Gerçekten Yavaşlatır mı?

DoH/DoT'un başlıca eleştirisi "TLS handshake gecikme ekler" idi. Pratikte ölçtüğüm rakamlar:

• İlk sorgu: Klasik DNS'e göre +5-30 ms (TLS handshake bedeli, sunucu mesafesine göre değişir).
• Sonraki sorgular (aynı bağlantı): Connection reuse aktifse fark yok — TLS oturumu açık kalır.
• OS ve browser cache devreye girince: Gerçek kullanıcı için fark <1 ms seviyesinde, gözlenmez.

Yani "DoH siteleri yavaşlatır" söylemi, ilk sorgu üzerinden alınmış mikrobenchmark abartısıdır. Gerçek dünya kullanımında, özellikle HTTP/2 veya HTTP/3 ile keep-alive bağlantı varsa, fark hissedilmez.

Dikkat Edilecek Köşeler

Captive portal: Otel/havalimanı Wi-Fi'ları sizi giriş sayfasına yönlendirmek için DNS hijack kullanır. DoH/DoT açıkken bu yönlendirme çalışmaz; geçici olarak şifreli DNS'i kapatıp girişi tamamlayıp tekrar açmanız gerekebilir. Modern istemciler (iOS, macOS) "captive portal tespit ettim, geçici klasik DNS" davranışı geliştirdi.

DNSSEC + DoT/DoH ilişkisi: Çok karıştırılan bir nokta. DNSSEC, resolver-yetkili sunucu arası DNS yanıtının imzasıdır; içerik bütünlüğünü doğrular. DoH/DoT ise istemci-resolver arasındaki taşımayı şifreler. İkisi farklı katmandır, biri diğerinin yerine geçmez. Tam koruma için her ikisi de gerekir; DNSSEC için detaylı bir yazı zaten Buyukweb blog'unda mevcut.

Türkiye'de DNS sansürü: Klasik DNS engellemesi DoH/DoT ile büyük oranda aşılır; ama TLS handshake'teki SNI alanı hâlâ açık metindir, ECH (Encrypted Client Hello) yaygınlaşana kadar trafik analizi tamamen yok olmaz. Bu yazının yazıldığı dönemde ECH adoption hâlâ erken evrede.

VPN içindeysem DoH gerekli mi? VPN tüm trafiği (DNS dahil) tünel içine alır; ama VPN sağlayıcı kendi DNS sunucusu üzerinden cevap dönerse, "ISP yerine VPN sağlayıcısı sorgularımı görür" durumuna geçersiniz. Buyukweb VPN paketleri DNS sızıntısı koruması ile birlikte gelir; VPN aktifken ek DoH yapılandırması zorunlu değildir, ama paranoyak gizlilik için VPN tüneli içinde DoH koşturmak (double encryption) bazı kullanıcı senaryoları için anlamlıdır.

Sık Sorulan Sorular

DoH mu, DoT mu — hangisini seçeyim?

Ev/küçük ofis ağında DoT (router veya tek kutu Pi-hole/AdGuard Home ile network-wide); kurumsal kısıtlı ağda veya sansür ortamında DoH (port 443 üzerinden gizlenir). Modern istemciler ikisini de destekler; ihtiyaca göre seçin.

Cloudflare 1.1.1.1 ile Google 8.8.8.8 arasında fark var mı?

Performans olarak Türkiye'den ikisi de hızlı (Cloudflare çoğunlukla biraz önde). Privacy: Cloudflare 24 saat sonra silme + KPMG denetim, Google daha geniş anonim log tutar. Filtering: İkisi de filtresizdir; malware engelleme istiyorsanız Quad9 9.9.9.9 daha iyi seçim.

VPN kullanıyorum, ayrıca DoH gerekli mi?

Çoğu durumda hayır; iyi bir VPN DNS sızıntısını engeller ve sorgular tünel içinden geçer. Buyukweb VPN paketleri bu davranışı varsayılan sunar. Çift katman gizlilik için VPN tüneli içinde DoH eklemek mümkün ama gündelik kullanıcı için fazlalıktır.

DNSSEC ile DoT yeter mi?

Bu farklı katmanlardır; DNSSEC içerik imzalama, DoT taşıma şifreleme. Tam koruma için ikisi de gerekir; biri diğerinin yerine geçmez. Buyukweb blog'unda DNSSEC için ayrı detaylı bir yazı var.

DoH'u tarayıcıdan kapatmak ne zaman gerekir?

Captive portal (otel/havalimanı) girişi sırasında, kurumsal SSL inspection yapan ağda zorunlu kalındığında, veya yerel ağ DNS'inden iç hostname (örneğin server.local) çözülmesi gerektiğinde geçici devre dışı bırakılır.

Pi-hole ile DoH nasıl birlikte çalışır?

Pi-hole klasik DNS forwarder'dır; arkasına cloudflared veya unbound + dnscrypt-proxy gibi DoH proxy ekleyince Pi-hole klasik DNS dinler, upstream DoH ile şifreli sorgu yapar. Yukarıda komut bloğu var.

Kendi VDS'imde DoH/DoT sunucusu kurmak ne kadar zor?

AdGuard Home tek-kutu kurulum 15 dakika; dnsdist + Unbound profesyonel kurulum 1-2 saat. Buyukweb VDS paketleri bu kurulumlar için yeterli; teknik destek ekibimiz ilk kurulumda rehberlik eder.

Kurumsal ağ yöneticisiyim, DoH'u engellemek istiyorum, mümkün mü?

Tarayıcı bazında: GPO (Windows), Configuration Profile (macOS), enterprise policy. Ağ bazında: Cloudflare DoH endpoint'lerini DNS düzeyinde block, ama kullanıcı custom DoH girerse bu zor. Tam kontrol için TLS inspection gerekir, bu da gizlilik ve sertifika dağıtımı tartışması açar.

Şifreli DNS sansürü tamamen aşar mı?

Hayır. SNI hâlâ açık metin; HTTP/3 ECH yaygınlaşmadan tam gizlilik mümkün değil. DoH/DoT klasik DNS-level engellemeyi büyük oranda aşar, ama IP/SNI bazlı engellemeye karşı çare değildir; bunun için VPN gerekir.

Sonuç ve Buyukweb Yaklaşımı

DoH ve DoT, klasik DNS'in 40 yıllık plaintext açığını kapatan iki olgun protokoldür. 2026 itibarıyla varsayılan açık olmalı bir konfigürasyondur:

• Son kullanıcı: Tarayıcı (Firefox/Chrome/Edge) veya OS düzeyinde Cloudflare/Quad9 DoH/DoT açın. Tek tık iş.
• Ev ağı/küçük ofis: Pi-hole + cloudflared veya AdGuard Home ile network-wide şifreli DNS + reklam engelleme.
• Kurumsal/teknik kullanıcı: Buyukweb VDS üzerinde dnsdist + Unbound ile kendi egemen şifreli resolver'ınız.

Buyukweb tarafında VPN paketleri zaten DNS sızıntısı koruması içerir; VDS sunucu paketleri ise kendi DoH/DoT sunucusunu kurmak isteyenler için Türkiye lokasyonlu altyapı sağlar. Proxy paketleri IP-bazlı gizlilik ihtiyaçları için tamamlayıcı çözümdür.

---

İlgili Buyukweb Hizmetleri

DNS gizliliği ve egemen altyapı için Türkiye lokasyonlu paketler:

• VDS Sunucu (kendi DoH/DoT sunucunuz için)
• VPN Paketleri (DNS sızıntısı korumalı)
• Proxy Paketleri
• cPanel Web Hosting
• Tüm hosting ve sunucu paketleri

Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.