DNS Terenkripsi vs VPN — Kenapa DoH dan DoT Tidak Menyembunyikan Riwayat Browsing Anda di 2026
Bahasa tersedia
Jika Anda mengaktifkan DNS terenkripsi di browser atau sistem operasi dan mengira ISP tidak lagi bisa melihat situs yang Anda kunjungi — Anda tidak sendirian. Ini salah satu kesalahpahaman privasi paling umum di tahun 2026.
Pertengahan April, instruktur keamanan David Bombal merilis demonstrasi praktis yang ramai beredar: bahkan dengan DNS-over-HTTPS (DoH) aktif, bahkan dengan TLS mengenkripsi setiap koneksi, dia tetap bisa mengidentifikasi situs persis yang dikunjungi target hanya dengan menyadap jaringan. Kueri DNS yang terenkripsi nyaris tidak menyembunyikan apa pun yang berguna.
Jika Anda mengandalkan DoH atau DoT saja agar browsing tetap pribadi, artikel ini untuk Anda. Mari kita bedah apa yang sebenarnya disembunyikan DNS terenkripsi, apa yang masih bocor, dan kenapa VPN tetap satu-satunya cara andal menyimpan trafik Anda dari log ISP.
Penyegaran Singkat: Apa Itu DNS?
Setiap kali Anda mengetik example.com di browser, perangkat Anda terlebih dulu meminta resolver DNS untuk menerjemahkan nama itu menjadi alamat IP seperti 93.184.216.34. Tanpa DNS, internet hanyalah buku telepon penuh angka yang tak ada yang bisa hapal.
Selama puluhan tahun, kueri DNS dikirim dalam teks polos lewat port UDP 53 — sama sekali tanpa enkripsi. Siapa pun yang memantau jaringan Anda (ISP, admin Wi-Fi kafe, badan pemerintah) bisa membaca setiap domain yang Anda cari.
DNS terenkripsi dirancang untuk menyelesaikan satu masalah spesifik itu saja.
Apa Itu DNS Terenkripsi?
"DNS terenkripsi" adalah istilah payung untuk tiga protokol transport modern:
| Protokol | Nama Lengkap | Port | Transport |
|---|---|---|---|
| DoH | DNS over HTTPS | 443 | TCP/HTTPS |
| DoT | DNS over TLS | 853 | TCP/TLS |
| DoQ | DNS over QUIC | 853 | UDP/QUIC |
Ketiganya membungkus kueri DNS Anda di dalam terowongan terenkripsi antara perangkat dan resolver. Penyedia besar seperti Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9, dan NextDNS semuanya mendukungnya. Sebagian besar browser modern (Firefox, Chrome, Edge, Safari) dan sistem operasi (Windows 11, macOS, iOS, Android) memungkinkan Anda mengaktifkan DNS terenkripsi dalam beberapa klik.
DNS terenkripsi menyelesaikan masalah teks-polos pada DNS. Ia tidak menyelesaikan masalah pengawasan jaringan yang lebih besar.
Apa yang Sebenarnya Disembunyikan DNS Terenkripsi
Beri kredit yang seharusnya. Saat Anda mengaktifkan DoH atau DoT, hal-hal berikut menjadi tak terlihat oleh ISP dan pengamat jaringan lokal:
- Kueri DNS itu sendiri — nama harfiah
example.comtidak lagi dikirim sebagai teks polos - Respons DNS — alamat IP yang dikembalikan resolver juga terenkripsi
- Pembajakan DNS lebih sulit — ISP tidak lagi bisa menulis ulang respons untuk mengarahkan Anda ke halaman lain
Jika Anda tinggal di tempat dengan sensor berbasis DNS yang agresif, DNS terenkripsi kadang bisa melompati skema pemblokiran paling sederhana. Ini manfaat nyata.
Tapi tangkapnya: menyembunyikan kueri DNS hanyalah sepotong kecil dari gambar privasi seutuhnya.
Apa yang Tidak Disembunyikan DNS Terenkripsi
Di sinilah model mental hampir semua orang runtuh. Setelah perangkat Anda menyelesaikan example.com menjadi 93.184.216.34, ia harus benar-benar terhubung ke alamat IP itu untuk memuat situs. Koneksi itulah yang dipedulikan ISP — dan DNS terenkripsi sama sekali tidak menyembunyikannya.
Tiga celah besar masih terbuka lebar:
1. Alamat IP Tujuan
Setiap paket yang Anda kirim membawa IP tujuan di header. Router — termasuk milik ISP — membaca IP itu untuk meneruskan paket. Tidak ada cara menyembunyikannya dari ISP tanpa menambahkan lapisan jaringan lain di atasnya (VPN, Tor, atau proxy).
Begitu ISP melihat Anda terhubung ke blok IP Netflix, blok IP Google, atau CDN situs dewasa terkenal, mereka tidak butuh DNS untuk tahu kira-kira ke mana Anda pergi.
2. Field SNI di TLS
Ketika browser Anda membuka koneksi HTTPS, pesan pertama — TLS ClientHello — berisi field bernama SNI (Server Name Indication). SNI memberi tahu server situs mana yang Anda minta, karena satu alamat IP sering kali menampung ribuan situs di belakang sebuah CDN.
Masalahnya? SNI dikirim dalam teks polos. Walaupun semua setelah handshake terenkripsi, nama hostnya melayang di kabel secara terbuka. ISP membacanya semudah membaca kartu pos.
Inilah alasan terbesar DNS terenkripsi sebenarnya tidak menyembunyikan riwayat browsing Anda. Seperti dikatakan Bombal di demo April-nya: "Hanya karena DNS Anda kini terenkripsi, bukan berarti ISP — atau orang lain yang menyadap jaringan — tidak bisa melihat ke situs mana Anda pergi."
3. Pola dan Waktu Trafik
Bahkan jika domain entah bagaimana terkaburkan, ukuran, waktu, dan frekuensi paket membocorkan informasi yang mengejutkan banyaknya. Peneliti telah menunjukkan, hanya dari metadata paket, pengamat dapat mengidentifikasi video YouTube tertentu, mengetahui layanan streaming yang Anda gunakan, bahkan menebak halaman yang sedang Anda baca.
Bagaimana dengan ECH? Bukankah Itu Memperbaiki SNI?
Pertanyaan bagus — dan tepat. Encrypted Client Hello (ECH) adalah penerus proposal lama ESNI. Ia mengenkripsi keseluruhan ClientHello, termasuk field SNI, sehingga nama host tidak lagi bocor di awal handshake TLS.
ECH benar-benar perbaikan paling bersih untuk masalah SNI. Tangkapnya ada di adopsi:
- ECH hanya berfungsi jika kedua pihak — klien (browser) dan server (atau CDN-nya) — mendukungnya
- Di tahun 2026, sebagian besar trafik ECH lewat Cloudflare — satu CDN
- Banyak situs besar (bank, maskapai, lembaga pemerintah, layanan regional) sama sekali tidak berada di belakang CDN yang mendukung ECH
- Sebagian jaringan secara aktif memblokir ClientHello bertanda ECH untuk memaksa fallback
Dalam eksperimen Bombal, field SNI mengekspos domain tujuan di hampir semua situs yang dia uji, dengan pengecualian langka berupa situs ber-Cloudflare yang mengaktifkan ECH. Teknologinya nyata, tetapi belum jadi jawaban penuh.
DNS Terenkripsi vs VPN: Perbandingan Sebenarnya
Beginilah kedua teknologi sebenarnya berhadapan dengan ancaman yang paling diperhatikan kebanyakan orang:
| Apa yang Bisa Dilihat Pengamat | Hanya DNS Terenkripsi | VPN |
|---|---|---|
| Kueri DNS teks polos | Tersembunyi | Tersembunyi |
| Alamat IP tujuan | Terlihat | Tersembunyi (hanya melihat IP server VPN) |
| TLS SNI / hostname | Terlihat | Tersembunyi (di dalam terowongan) |
| Waktu & volume koneksi ke situs tertentu | Terlihat | Terkaburkan (bercampur dengan trafik VPN lain) |
| Kepada siapa ISP bisa menjual data browsing Anda | Anda | Penyedia VPN, jika menyimpan log (VPN no-logs: tidak ada) |
| Akses ke konten geo-restricted | Tidak berubah | Dilewati lewat server di kawasan lain |
| Pengintaian Wi-Fi publik | Sebagian | Terenkripsi penuh ujung-ke-ujung |
VPN bekerja di lapisan yang fundamental lebih rendah daripada DNS. Ia membangun terowongan terenkripsi dari perangkat Anda ke server VPN, dan setiap paket — kueri DNS, rute IP, handshake TLS, SNI, pola trafik — melewati terowongan itu. ISP hanya melihat satu aliran terenkripsi menuju endpoint VPN. Mereka tidak bisa membacanya, tidak bisa membedakan tiap tujuan, dan tidak bisa menjual yang tidak mereka miliki.
Kenapa "Saya Cuma Pakai DoH" Tidak Cukup
Mari telusuri situasi yang paling sering dianggap orang bahwa DNS terenkripsi melindunginya, dan apa yang sebenarnya terjadi:
Di Wi-Fi rumah. ISP tetap melihat setiap IP dan SNI yang Anda hubungi. Mereka bisa membangun profil browsing lengkap dan, di banyak negara, menjual atau membagikannya.
Di Wi-Fi publik. Siapa pun yang menjalankan titik akses — atau penyerang di jaringan yang sama — membaca SNI Anda dalam teks polos. Mereka tahu setiap situs yang Anda kunjungi, walau DNS Anda terenkripsi ke Cloudflare.
Di jaringan kantor atau hotel. Admin jaringan melihat semua tujuan Anda dan sering aktif mencatatnya. Beberapa jaringan bahkan memblokir resolver DoH yang dikenal untuk memaksa Anda kembali ke DNS polos.
Di bawah pengawasan atau sensor tingkat negara. Inspeksi SNI adalah salah satu teknik penyaringan paling murah dan paling banyak diterapkan di dunia. DNS terenkripsi sendirian tidak melewatinya.
Di salah satu pun dari skenario ini, DoH tidak secara berarti mengubah apa yang bisa dipelajari pengamat tentang Anda.
Tumpukan yang Tepat: DNS Terenkripsi dan VPN
Ini bukan pilihan "salah satu". Pengaturan terkuat menggabungkan keduanya:
- VPN membawa 100% trafik Anda — DNS, IP, SNI, semuanya — lewat terowongan terenkripsi, menyembunyikan semuanya dari ISP dan jaringan lokal.
- DNS terenkripsi di dalam VPN memastikan kueri DNS juga terlindungi dari resolver hulu penyedia VPN, dan mengurangi fingerprinting jika VPN sebentar putus.
- ECH bila tersedia menambahkan satu lapisan lagi untuk situs yang mendukung — berguna, tetapi bukan pengganti terowongan.
VPN yang terpercaya juga harus menangani DNS otomatis: saat Anda terkoneksi, semua trafik DNS harus dirutekan lewat resolver milik VPN sendiri (atau penyedia DNS terenkripsi pilihan Anda) di dalam terowongan, dengan perlindungan kebocoran DNS untuk memastikan tidak ada kueri yang lolos ke resolver ISP secara tidak sengaja.
Cara Memverifikasi Pengaturan Anda Tidak Bocor
Sebelum mempercayai semua ini, ujilah:
- Hubungkan ke VPN.
- Buka dnsleaktest.com dan jalankan tes diperluas. Anda seharusnya melihat resolver penyedia VPN, bukan ISP.
- Buka browserleaks.com/ip dan pastikan IP publik Anda cocok dengan server VPN, bukan alamat asli.
- Opsional: di browserleaks.com/tls lihat seperti apa TLS ClientHello Anda (termasuk dukungan SNI/ECH) dari sudut pandang server.
Jika salah satu tes menunjukkan ISP asli, IP asli, atau lokasi asli Anda, pengaturan Anda bocor. Klien VPN yang baik memperbaiki ini otomatis dengan Kill Switch dan perlindungan kebocoran DNS bawaan — tetapi sekali verifikasi sendiri tetap pantas.
Garis Bawahnya
DNS terenkripsi adalah peningkatan nyata dibanding DNS polos, dan Anda sebaiknya mengaktifkannya. Tapi ia memecahkan masalah sempit: menyembunyikan teks harfiah kueri DNS dari siapa pun yang mendengarkan kabel.
Ia tidak menyembunyikan:
- Alamat IP yang Anda hubungi
- Hostname yang terungkap di field SNI tak terenkripsi
- Pola dan metadata trafik Anda
- Apa pun dari ISP, admin jaringan, atau aktor pengawasan yang gigih
Jika tujuan Anda privasi browsing yang sebenarnya — menjauhkan ISP, operator Wi-Fi publik, dan pengintai biasa dari aktivitas Anda — Anda perlu VPN. DNS terenkripsi adalah pelengkap berguna di atasnya, bukan pengganti.
Bagaimana Mosaic VPN Menjaga Privasi Browsing Anda
Mosaic VPN dibangun berdasarkan kenyataan-kenyataan di atas:
- Enkripsi AES-256 membungkus setiap paket — DNS, SNI, dan semuanya — dalam terowongan terenkripsi rendah-overhead yang tidak bisa dibaca ISP atau jaringan lokal
- Perlindungan kebocoran DNS bawaan mengarahkan setiap kueri lewat terowongan, sehingga tak ada kueri yang lolos ke resolver ISP
- Kill Switch yang andal langsung memutus internet bila terowongan terputus, mencegah jendela teks polos sesaat yang bisa membongkar trafik Anda
- Kebijakan tanpa log yang ketat berarti tidak ada catatan browsing yang bisa disubpoena, dijual, atau dibobol
- Jaringan server global memungkinkan Anda keluar dari kawasan pilihan, menetralkan pelacakan berbasis IP dan membuka konten geo-restricted
DNS terenkripsi adalah langkah awal yang baik. Padukan dengan Mosaic VPN, dan celah yang diam-diam dimanfaatkan ISP akhirnya tertutup.
Tag