Network & Security

DNS over HTTPS (DoH) และ DNS over TLS (DoT) คืออะไร? คู่มือ Encrypted DNS สำหรับ SME ไทย 2026

DNS over HTTPS (DoH) และ DNS over TLS (DoT) คือโปรโตคอลเข้ารหัส DNS Query ป้องกันการดักฟัง Man-in-the-Middle และการ Poisoning บทความนี้สรุปความแตกต่าง วิธี Deploy บน Windows, macOS, Router และนโยบาย Enterprise สำหรับ SME ไทย 2026

AF
ADS FIT Team
·8 นาที
Share:
DNS over HTTPS (DoH) และ DNS over TLS (DoT) คืออะไร? คู่มือ Encrypted DNS สำหรับ SME ไทย 2026

# DNS over HTTPS (DoH) และ DNS over TLS (DoT) คืออะไร? คู่มือ Encrypted DNS สำหรับ SME ไทย 2026

DNS เป็นโครงสร้างพื้นฐานเก่าแก่ที่สุดอย่างหนึ่งของอินเทอร์เน็ต และเป็นช่องโหว่ที่ผู้โจมตีใช้ได้ผลที่สุดเช่นกัน ในปี 2026 องค์กรขนาดกลาง/เล็กในไทยยังเจอภัยคุกคาม DNS Spoofing, DNS Hijacking, Man-in-the-Middle บน Wi-Fi สาธารณะ และการสอดแนมจาก ISP หรือผู้ให้บริการเครือข่ายอื่นๆ เพราะคำค้นหา DNS แบบดั้งเดิม (UDP Port 53) ถูกส่งเป็น Plaintext ทำให้ใครก็ตามที่อยู่บนเส้นทางเดียวกันสามารถอ่าน แก้ไข หรือบันทึกข้อมูลได้

DNS over HTTPS (DoH) และ DNS over TLS (DoT) คือสองมาตรฐานที่เกิดมาเพื่อแก้ปัญหานี้ โดยการเข้ารหัส DNS Query ระหว่าง Client กับ Resolver ด้วย TLS 1.3 ทำให้ผู้โจมตีไม่สามารถอ่านหรือดัดแปลงได้ บทความนี้จะอธิบายความแตกต่างของสองโปรโตคอล ผลกระทบต่อ Performance, Compliance ของธุรกิจไทย (PDPA) และวิธีนำไปใช้ทั้งบน Client Device, Router และ DNS Forwarder ภายในองค์กร

1. DNS แบบดั้งเดิมและความเสี่ยงที่ SME ไทยต้องรู้

  • **Plaintext UDP/53** ใครก็ดักอ่านได้
  • **Cache Poisoning** ผู้โจมตียัด IP ปลอมเข้า DNS Cache
  • **ISP Logging** ผู้ให้บริการสามารถเก็บ Query Log ได้ตามกฎหมาย
  • **Phishing Domain Redirect** โดยผ่านการเปลี่ยน DNS บน Router
  • **DNS Tunneling** สำหรับ Data Exfiltration ผ่าน Malware

    • PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ไม่ได้บังคับใช้ DoH/DoT โดยตรง แต่การเข้ารหัส DNS ช่วยให้องค์กรบรรลุ "Appropriate Security Measures" ได้ง่ายกว่า

    2. ความแตกต่างระหว่าง DoH vs DoT

    | มิติ | DoH (DNS over HTTPS) | DoT (DNS over TLS) |

    |------|---------------------|--------------------|

    | Port | 443 | 853 |

    | Protocol | HTTPS (HTTP/2, HTTP/3) | TLS ตรง ๆ บน TCP |

    | ซ่อนใน Traffic ปกติ | ซ่อนในการจราจร HTTPS ทั่วไป | แยก Port ชัดเจน ถูกบล็อกง่าย |

    | Debugging | ซับซ้อน เพราะรวมกับ Traffic Web | ง่ายกว่า ใช้ Tools DNS ปกติ |

    | ใช้งาน Enterprise | เหมาะกับ Browser และ Client | เหมาะกับ Router/Resolver |

    | Performance | เพิ่ม Latency ~3-10ms | เพิ่ม Latency ~2-7ms |

    สรุปง่าย ๆ DoH เหมาะกับ End-user ที่ต้องการ Privacy สูงสุด ส่วน DoT เหมาะกับองค์กรที่ต้อง Monitor Traffic ได้ง่าย

    3. ผู้ให้บริการ Public Resolver ที่น่าใช้ในปี 2026

  • **Cloudflare 1.1.1.1** รองรับทั้ง DoH และ DoT ประสิทธิภาพสูงสุดในไทย
  • **Google 8.8.8.8 / dns.google** เหมาะกับ Enterprise ที่ใช้ Google Workspace อยู่แล้ว
  • **Quad9 9.9.9.9** เน้น Security Filtering ป้องกัน Malicious Domain ในตัว
  • **NextDNS** ปรับแต่ง Filtering, Logging, Parental Control ได้
  • **AdGuard DNS** เน้นบล็อกโฆษณาและ Tracker

    • 4. How-to: เปิดใช้งาน DoH/DoT แบบ Step-by-step

  • Windows 11 เปิด Settings → Network → Ethernet/Wi-Fi → DNS Server Assignment → Manual → เพิ่ม 1.1.1.1 และเลือก "Encrypted Only (DoH)"
  • macOS Sonoma สร้าง Configuration Profile (.mobileconfig) จาก Apple's Profile Manager หรือใช้ NextDNS Config แล้วลงผ่าน System Settings
  • iOS/Android ใช้ App เช่น 1.1.1.1, NextDNS หรือเปิด Private DNS ใน Network Settings (Android รองรับ DoT ตั้งแต่ Android 9)
  • Browser Chrome/Edge/Firefox เปิด "Use secure DNS" ในหน้า Privacy Settings
  • Router สำหรับ OpenWrt, pfSense, MikroTik, หรือ OPNsense เปิด Unbound + Stub Resolver ให้ Forward ไปยัง DoT Upstream เช่น 1.1.1.1@853
  • Enterprise ใช้ AdGuard Home / Pi-hole + Cloudflared Tunnel เพื่อเปิด DoH/DoT ให้ทั้งสำนักงาน และเก็บ Audit Log ตาม PDPA

    • 5. ตารางเปรียบเทียบ 3 สถาปัตยกรรมสำหรับ SME

    | โครงสร้าง | เหมาะกับ | ต้นทุนเริ่ม | ความยากในการ Maintain |

    |-----------|---------|-------------|----------------------|

    | Per-device DoH | ทีมงานทำงานจากที่ต่าง ๆ | ฟรี | ต่ำ |

    | Router-level DoT | สำนักงานขนาดกลาง | 2,000–10,000 บาท | ปานกลาง |

    | On-prem Resolver (Pi-hole/AdGuard Home) | SME 20–200 คน | 5,000–20,000 บาท | สูงที่สุด แต่ควบคุมได้เต็มที่ |

    6. ข้อควรระวังและทางเลือก

  • ระบบ **Content Filtering แบบเดิม** (เช่น Firewall Policy ที่อ่าน DNS Query) จะหยุดทำงาน ต้องเปลี่ยนเป็น Secure DNS Filtering เช่น Cisco Umbrella, Cloudflare Gateway หรือ NextDNS Enterprise
  • **Application Override** บาง Browser (Chrome, Firefox) จะเปิด DoH ของตัวเองโดยไม่สนใจ OS ต้องใช้ Group Policy (ADMX) บังคับ
  • **Public Wi-Fi Captive Portal** อาจใช้ไม่ได้จนกว่าจะ Login เพราะ DoH ต้องการ HTTPS ซึ่งถูกสกัดก่อน
  • **Regulatory** ในบาง Jurisdiction มีกฎหมายกำหนดให้องค์กรเก็บ DNS Log ต้องใช้ Resolver ที่เก็บ Log ในประเทศ

    • 7. Roadmap การ Deploy ภายใน 4 สัปดาห์

    | สัปดาห์ | กิจกรรม |

    |--------|--------|

    | 1 | Audit DNS Queries ปัจจุบัน + เลือก Provider |

    | 2 | Pilot Test บน 5–10 เครื่อง + วัด Latency |

    | 3 | Deploy Router/Resolver + สร้าง Filtering Policy |

    | 4 | Training, เขียน Policy, ตั้ง Logging Dashboard |

    สรุป + Call to Action

    Encrypted DNS ด้วย DoH/DoT ไม่ใช่แค่เทรนด์ แต่คือ Baseline Security ของปี 2026 ที่ช่วย SME ไทยป้องกัน MITM, DNS Hijacking และสอดคล้องกับ PDPA เริ่มจาก Cloudflare 1.1.1.1 หรือ NextDNS ที่ระดับ Router ภายใน 1 เดือนก่อนขยายไปสู่ Pi-hole หรือ AdGuard Home สำหรับการควบคุมเต็มรูปแบบ

    หากต้องการปรึกษาการวาง DNS Infrastructure, Zero Trust Network, หรือ Audit ช่องโหว่ Network ให้พร้อม PDPA ทีมงาน ADS FIT ยินดีช่วยออกแบบให้เหมาะกับขนาดองค์กรของคุณ อ่านบทความที่เกี่ยวข้องเพิ่มเติมในหมวด Network & Security บนเว็บไซต์ของเรา

    Tags

    #DNS over HTTPS#DoH#DoT#Encrypted DNS#DNS Privacy#Network Security

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🌐

    GoAccess 2026: Real-Time Web Log Analyzer Open-Source สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    Multicast IP Networking 2026: คู่มือ IGMP PIM Routing สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    EMQX vs Mosquitto 2026: คู่มือเลือก MQTT Broker สำหรับระบบ IoT SME ไทย

    7 พฤษภาคม 2569 · 9 นาที