Network & Security

DNS over QUIC (DoQ) คืออะไร? คู่มือ Encrypted DNS สมัยใหม่ SME ไทย 2026

DNS over QUIC (DoQ) คือ encrypted DNS รุ่นใหม่ตาม RFC 9250 เร็วและ privacy ดีกว่า DoH/DoT พร้อมคู่มือ deploy บน Unbound/AdGuard/dnsdist สำหรับ SME ไทยปี 2026

AF
ADS FIT Team
·7 นาที
Share:
🌐

# DNS over QUIC (DoQ) คืออะไร? คู่มือ Encrypted DNS สมัยใหม่ SME ไทย 2026

DNS over QUIC (DoQ) คือโปรโตคอลใหม่ที่ห่อ DNS query/response ไว้ใน QUIC transport ตาม RFC 9250 (เผยแพร่พฤษภาคม 2022) เพิ่มทั้ง encryption แบบ end-to-end, latency ต่ำ และ connection migration ที่ DoH (DNS over HTTPS) กับ DoT (DNS over TLS) ทำไม่ได้

ปี 2026 DoQ ขยายเข้าสู่ enterprise และ ISP ของไทยเร็วขึ้น เพราะ Cloudflare 1.1.1.1, AdGuard, Quad9, NextDNS รองรับครบ + Android 14+ มี native client หลังจากที่ Android Private DNS เคยจำกัดที่ DoT เท่านั้น

บทความนี้จะอธิบาย DoQ ทำงานอย่างไร เหตุผลที่ดีกว่า DoH/DoT ขั้นตอน deploy บน DNS resolver ที่นิยม และ pitfalls ที่ SME ไทยควรระวัง

DoQ ทำงานอย่างไร เปรียบเทียบกับ DoH / DoT

DNS แบบดั้งเดิม (Do53) ส่งเป็น UDP plaintext port 53 ใครดักก็เห็นได้ว่าผู้ใช้ resolve โดเมนอะไร ส่วน encrypted DNS มี 3 แนวทางหลัก:

| Protocol | Transport | Port | Latency | Connection Migration |

|----------|-----------|------|---------|----------------------|

| DoT | TCP + TLS 1.3 | 853 | ปานกลาง | ไม่มี |

| DoH | HTTP/2 over TLS | 443 | ปานกลาง | ไม่มี |

| DoQ | QUIC (UDP) | 853 | ต่ำสุด | มี (RFC 9000) |

QUIC คือ transport ที่ Google เปิดทาง HTTP/3 ใช้งาน รวม TLS 1.3 + multiplexing + 0-RTT handshake เข้าด้วยกัน ผลคือ DoQ ลด handshake latency ลง 1-2 RTT เทียบกับ DoT/DoH โดยเฉพาะบน mobile ที่ network เปลี่ยนบ่อย เพราะ QUIC migrate connection ผ่าน connection ID ไม่ผูกกับ source IP

ประโยชน์ที่ DoQ ให้กับ SME

  • **Privacy ครบกว่า** — แม้ ISP จะรู้ว่าคุณคุยกับ DoQ resolver ก็ไม่รู้โดเมนที่ resolve
  • **Performance ดีกว่า** บน mobile workforce — sales team ที่เปลี่ยน WiFi/4G/5G บ่อย ๆ จะไม่เจอ TCP RST/DNS timeout
  • **Bypass ได้บางสภาพแวดล้อม** ที่ block DoH 443 แต่ลืม UDP 853
  • **เตรียมพร้อม HTTP/3** — โครงสร้าง QUIC ตัวเดียวกันใช้ทั้ง web และ DNS ลด attack surface
  • **เลี่ยง DNS hijack/spoofing** ของ public WiFi สำคัญมากสำหรับธุรกิจที่ส่งคนออก field

    • Resolvers สาธารณะที่รองรับ DoQ ปี 2026

  • Cloudflare 1.1.1.1 — `quic://1.1.1.1:853`
  • AdGuard DNS — `quic://dns.adguard-dns.com:853`
  • NextDNS — `quic://<id>.dns.nextdns.io:853`
  • Quad9 — `quic://dns.quad9.net:853`
  • Mullvad DNS — รองรับครบทั้ง 3 มาตรฐาน

    • ขั้นตอน Deploy DoQ ใน Network ขององค์กร

    หาก SME ของคุณต้องการ deploy DoQ resolver เองภายใน ทำตามขั้นตอนนี้:

  • **Step 1: เลือก resolver** — Unbound 1.18+, AdGuard Home, dnsdist, BIND 9.20+ รองรับ DoQ ทั้งหมด
  • **Step 2: ออก TLS certificate** — DoQ ต้อง TLS 1.3 จริง ใช้ Let's Encrypt ผ่าน DNS-01 challenge หรือ private CA
  • **Step 3: เปิด UDP 853** — Firewall ภายใน + perimeter ต้อง allow ไม่ใช่ TCP 853 (DoT)
  • **Step 4: ตั้งค่า ALPN** — string ต้องเป็น `doq` ตาม IANA registry
  • **Step 5: Test ด้วย kdig** — `kdig +quic @your-resolver.com example.com`
  • **Step 6: Force client** — push DoQ profile ผ่าน Mobile Device Management (MDM) ของ Android Enterprise / iOS 17+ Configuration Profile
  • **Step 7: Monitor** — ใช้ Prometheus exporter ของ AdGuard/Unbound ดู query rate, error rate, handshake time

    • ตัวอย่าง config Unbound เปิด DoQ

    ```

    server:

    interface: 0.0.0.0@853

    tls-service-key: "/etc/letsencrypt/live/dns.example.co.th/privkey.pem"

    tls-service-pem: "/etc/letsencrypt/live/dns.example.co.th/fullchain.pem"

    tls-port: 853

    http-port: 443

    http-endpoint: /dns-query

    quic-port: 853

    quic-size: 8m

    ```

    หลัง reload Unbound ทดสอบด้วย `kdig +quic @dns.example.co.th adsfit.co.th` ควรได้ ANSWER section พร้อม latency ที่ต่ำกว่า DoT 1-2 RTT

    ข้อควรระวังก่อน Deploy

  • บาง corporate firewall (Fortinet, Palo Alto บางรุ่น) ยัง treat UDP 853 traffic เป็น unknown app — ต้องสร้าง custom signature
  • DoQ ไม่ทำงานข้าม transparent proxy ที่ inspect TLS — ต้อง bypass หรือ deploy MITM ด้วย private CA
  • 0-RTT data ของ QUIC อาจถูก replay attack — ปิดใช้สำหรับ privacy-critical query (DNSSEC, EDNS Client Subnet)
  • ผู้ใช้ end-device อยู่หลัง CGNAT บางครั้ง connection migration จะไม่ทำงาน — ทดสอบกับ mobile carrier ของไทยด้วย

    • เปรียบเทียบ DoQ vs DoH3 (HTTP/3)

    DoH3 ใช้ HTTP/3 over QUIC port 443 ซึ่งซ่อน DNS อยู่ใน web traffic — แอบดีในเรื่อง censorship resistance แต่มี HTTP overhead เพิ่ม DoQ port 853 บริสุทธิ์กว่าและเร็วกว่าเพราะไม่ต้อง map กับ HTTP semantic เหมาะสำหรับ private/enterprise DNS

    | ใช้กรณี | เลือก |

    |----------|---------|

    | ผู้ใช้ทั่วไปบน internet ที่อาจถูก block port 853 | DoH3 |

    | Internal corporate resolver, mobile workforce | DoQ |

    | Browser-only privacy tooling | DoH (HTTP/2) ก็พอ |

    สรุป + ก้าวต่อไป

    DoQ คืออนาคตของ encrypted DNS ที่เร็วและ privacy ดีกว่า DoH/DoT — SME ไทยที่ดูแลระบบเอง หรือมี mobile workforce ควรลอง deploy ใน lab ก่อน แล้วค่อย rollout ผ่าน MDM ภายใน 6 เดือนข้างหน้า

    ต้องการให้ทีม network engineer ช่วยออกแบบ encrypted DNS infrastructure ที่รองรับ DoQ + DoH3 + DNSSEC ครบ? [ติดต่อ ADS FIT](/contact) หรืออ่านบทความ [DNS over HTTPS Privacy Guide](/blog/dns-over-https-dot-encrypted-dns-privacy-guide-sme-thailand-2026) ได้

    Tags

    #DNS over QUIC#DoQ#RFC 9250#Encrypted DNS#Network Privacy#Unbound

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🌐

    GoAccess 2026: Real-Time Web Log Analyzer Open-Source สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    Multicast IP Networking 2026: คู่มือ IGMP PIM Routing สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    EMQX vs Mosquitto 2026: คู่มือเลือก MQTT Broker สำหรับระบบ IoT SME ไทย

    7 พฤษภาคม 2569 · 9 นาที