Apa Itu Private DNS? Cara Kerja & Cara Mengaturnya
Apa Itu Private DNS?
Private DNS adalah fitur yang mengenkripsi kueri DNS Anda sehingga tidak ada pihak antara perangkat dan server DNS yang bisa melihat website mana yang sedang Anda cari. Fitur ini menggunakan protokol seperti DNS over TLS (DoT) atau DNS over HTTPS (DoH) untuk membungkus kueri Anda dalam tunnel terenkripsi.
Tanpa private DNS, setiap nama domain yang Anda ketik di browser dikirim sebagai teks biasa melalui internet. ISP Anda, siapa pun yang terhubung ke jaringan Wi-Fi yang sama, dan perangkat perantara mana pun di jalur jaringan bisa membaca dan bahkan memodifikasi kueri tersebut. Private DNS menghentikan hal ini dengan mengenkripsi koneksi antara perangkat Anda dan DNS resolver.
Istilah 'private DNS' paling sering dikaitkan dengan pengaturan Android yang diperkenalkan di Android 9 Pie (2018), tetapi teknologi dasarnya — DNS terenkripsi — tersedia di semua platform utama termasuk iOS, Windows, macOS, dan Linux.
Cara Kerja DNS Biasa (Dan Mengapa Ini Bermasalah)
DNS tradisional telah mengirim kueri dalam teks biasa sejak tahun 1987. Ketika Anda mengetik nama domain di browser, perangkat Anda mengirim kueri DNS melalui UDP port 53 ke DNS resolver (biasanya server milik ISP Anda). Resolver merespons dengan alamat IP — semuanya tanpa enkripsi sama sekali.
Ini berarti siapa pun di jalur jaringan Anda bisa melihat setiap domain yang Anda kunjungi. ISP Anda bisa membuat profil browsing yang lengkap. Penyerang di Wi-Fi publik bisa mencegat kueri Anda. Beberapa ISP bahkan membajak respons DNS untuk mengarahkan Anda ke halaman pencarian atau iklan mereka sendiri.
DNS juga rentan terhadap serangan cache poisoning dan spoofing di mana penyerang mengirim respons palsu, mengarahkan Anda ke website berbahaya tanpa sepengetahuan Anda. DNS tradisional tidak memiliki mekanisme bawaan untuk memverifikasi bahwa respons benar-benar datang dari server DNS yang asli.
Cara Kerja Private DNS
Private DNS membungkus kueri DNS Anda di dalam koneksi terenkripsi. Alih-alih mengirim kueri teks biasa pada UDP port 53, perangkat Anda terlebih dahulu membuat sesi terenkripsi dengan DNS resolver, kemudian mengirim kueri melalui tunnel aman tersebut.
DNS resolver mendekripsi kueri Anda, menerjemahkan nama domain menjadi alamat IP, mengenkripsi respons, dan mengirimkannya kembali. Seluruh pertukaran data tidak terlihat oleh siapa pun yang memantau jaringan — mereka bisa melihat bahwa Anda berkomunikasi dengan server DNS, tetapi mereka tidak bisa melihat domain mana yang Anda kueri.
Ada tiga protokol DNS terenkripsi yang digunakan saat ini: DNS over TLS (DoT), DNS over HTTPS (DoH), dan DNS over QUIC (DoQ). Masing-masing menggunakan pendekatan berbeda untuk mengenkripsi kueri DNS yang sama.
DNS over TLS vs DNS over HTTPS vs DNS over QUIC
DoT adalah protokol yang paling umum digunakan untuk private DNS level sistem (Android, Linux). Protokol ini menggunakan port khusus (853), sehingga mudah bagi administrator jaringan untuk mengidentifikasi dan memblokir.
DoH disukai oleh web browser karena menyatu dengan traffic HTTPS biasa di port 443, sehingga hampir mustahil untuk diblokir tanpa merusak seluruh web. Chrome, Firefox, dan Edge semuanya mendukung DoH secara native.
DoQ adalah protokol terbaru (2022) dan tercepat. Menggunakan transport QUIC dengan enkripsi TLS 1.3 bawaan dan bisa membuat koneksi tanpa round trip (0-RTT). Android 13+ mendukung DoQ, dan provider seperti AdGuard berencana menjadikannya protokol default mereka.
| Fitur | DNS over TLS (DoT) | DNS over HTTPS (DoH) | DNS over QUIC (DoQ) |
|---|---|---|---|
| RFC | RFC 7858 (2016) | RFC 8484 (2018) | RFC 9250 (2022) |
| Port | TCP 853 (khusus) | TCP 443 (berbagi dengan HTTPS) | UDP 853 |
| Transport | TLS over TCP | HTTP/2 atau HTTP/3 over TLS | QUIC (TLS 1.3 bawaan) |
| Bisa diblokir? | Mudah — cukup blokir port 853 | Sangat sulit — port sama dengan semua HTTPS | Sedang — UDP 853 |
| Latensi | Rendah | Sedikit lebih tinggi (overhead HTTP) | Paling rendah (0-RTT dimungkinkan) |
| Digunakan oleh | Android Private DNS, level sistem | Browser (Chrome, Firefox, Edge) | AdGuard, NextDNS, Cloudflare |
| Adopsi | Luas | Luas | Berkembang |
Cara Mengaktifkan Private DNS di Android
Android memiliki dukungan Private DNS bawaan sejak Android 9 Pie (2018). Fitur ini menggunakan DNS over TLS dan berlaku di seluruh sistem untuk semua aplikasi.
Langkah 1: Buka Pengaturan > Jaringan & Internet (atau Koneksi di Samsung)
Langkah 2: Ketuk Private DNS (Anda mungkin perlu mengetuk 'Lanjutan' atau 'Pengaturan koneksi lainnya' terlebih dahulu)
Langkah 3: Pilih Nama host penyedia Private DNS
Langkah 4: Masukkan hostname DoT. Contoh:
1dot1dot1dot1.cloudflare-dns.com(Cloudflare),dns.google(Google),dns.quad9.net(Quad9),dns.adguard-dns.com(AdGuard)Langkah 5: Ketuk Simpan. Android akan memverifikasi koneksi — jika gagal, akan muncul pesan error
Cara Mengaktifkan Private DNS di iPhone dan iPad
Apple tidak memiliki toggle sederhana seperti Android. DNS terenkripsi di iOS memerlukan instalasi profil konfigurasi atau menggunakan aplikasi DNS.
Metode 1: Aplikasi DNS — Install aplikasi 1.1.1.1 (Cloudflare), NextDNS, atau AdGuard dari App Store. Buka aplikasi dan aktifkan DNS terenkripsi. Pengaturan akan muncul di Pengaturan > Umum > VPN, DNS & Manajemen Perangkat.
Metode 2: Profil Konfigurasi — Download file
.mobileconfigdari sumber terpercaya (seperti repositori GitHubpaulmillr/encrypted-dns). Buka Pengaturan > Umum > VPN, DNS & Manajemen Perangkat, pilih profil yang telah diunduh, dan ketuk Install.Metode 3: DNS Per-Jaringan — Buka Pengaturan > Wi-Fi, ketuk (i) di samping jaringan Anda, ketuk Konfigurasi DNS, pilih Manual, dan tambahkan alamat IP DNS (misalnya, 1.1.1.1, 1.0.0.1). Catatan: cara ini TIDAK mengenkripsi DNS — hanya mengubah resolver.
Cara Mengaktifkan DNS over HTTPS di Windows 11
Windows 11 mendukung DNS over HTTPS secara native. Sistem ini dilengkapi dengan daftar penyedia DoH yang dikenali termasuk Cloudflare, Google, dan Quad9.
Langkah 1: Buka Pengaturan > Jaringan & Internet > Wi-Fi (atau Ethernet)
Langkah 2: Klik Properti hardware untuk koneksi Anda
Langkah 3: Klik Edit di samping penetapan server DNS
Langkah 4: Pilih Manual, aktifkan IPv4
Langkah 5: Masukkan server DNS utama (misalnya,
1.1.1.1), atur DNS over HTTPS ke Aktif (template otomatis)Langkah 6: Masukkan server DNS sekunder (misalnya,
1.0.0.1), atur DoH ke Aktif jugaLangkah 7: Klik Simpan. Entri DNS seharusnya sekarang menampilkan label Terenkripsi
# View pre-configured DoH providers in Windows 11
netsh dns show encryption
# Add a custom DoH provider via PowerShell
Add-DnsClientDohServerAddress -ServerAddress '1.1.1.1' -DohTemplate 'https://cloudflare-dns.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $TrueCara Mengaktifkan Private DNS di macOS
macOS mendukung DNS terenkripsi melalui profil konfigurasi (sama seperti iOS) atau melalui aplikasi DNS.
Metode 1: Aplikasi DNS — Install aplikasi Cloudflare 1.1.1.1 (atau serupa) dan aktifkan. Aplikasi akan mengonfigurasi DoH atau DoT di level sistem.
Metode 2: Profil Konfigurasi — Download file
.mobileconfig, klik dua kali untuk menginstal, lalu setujui di Pengaturan Sistem > Privasi & Keamanan > Profil.Metode 3: Terminal (lanjutan) — Gunakan
networksetupuntuk mengubah server DNS, tetapi perlu diketahui bahwa perubahan DNS melalui command-line saja TIDAK mengaktifkan enkripsi. Anda tetap memerlukan profil atau aplikasi untuk DNS terenkripsi.
Penyedia Private DNS Terbaik (2026)
Cloudflare 1.1.1.1 adalah DNS resolver publik tercepat dan mendukung ketiga protokol terenkripsi (DoT, DoH, DoQ). Tersedia varian aman untuk keluarga: security.cloudflare-dns.com (pemblokiran malware) dan family.cloudflare-dns.com (pemblokiran malware + konten dewasa). Cloudflare berkomitmen untuk tidak mencatat alamat IP Anda dan diaudit setiap tahun.
Google Public DNS adalah resolver publik yang paling banyak digunakan. Mendukung DoT dan DoH tetapi mencatat data sementara selama 24-48 jam sebelum dianonimkan. Jika privasi mutlak adalah prioritas Anda, Cloudflare atau Quad9 adalah pilihan yang lebih baik.
Quad9 beroperasi di bawah yurisdiksi Swiss dengan kebijakan tanpa pencatatan IP yang ketat. Secara otomatis memblokir domain berbahaya yang diketahui menggunakan intelijen ancaman dari lebih dari 25 perusahaan keamanan siber — menjadikannya pilihan terbaik bagi pengguna yang mengutamakan keamanan.
AdGuard DNS memblokir iklan dan pelacak di level DNS, artinya iklan diblokir di seluruh perangkat Anda tanpa perlu menginstal pemblokir iklan. AdGuard adalah adopter awal DNS over QUIC dan berencana menjadikan DoQ sebagai protokol default-nya.
NextDNS memberi Anda kontrol paling banyak. Anda mendapatkan hostname kustom, daftar blokir yang bisa dikonfigurasi, analitik per perangkat, kontrol orang tua, dan dasbor untuk melihat secara persis apa yang diblokir. Paket gratis mencakup 300.000 kueri per bulan.
| Penyedia | Hostname DoT | IPv4 | Keunggulan |
|---|---|---|---|
| Cloudflare | 1dot1dot1dot1.cloudflare-dns.com | 1.1.1.1 / 1.0.0.1 | Kecepatan — resolver publik tercepat secara global (~5ms rata-rata) |
| dns.google | 8.8.8.8 / 8.8.4.4 | Keandalan — infrastruktur global yang sangat besar | |
| Quad9 | dns.quad9.net | 9.9.9.9 / 149.112.112.112 | Keamanan — memblokir domain berbahaya menggunakan 25+ feed intelijen ancaman |
| AdGuard | dns.adguard-dns.com | 94.140.14.14 / 94.140.15.15 | Pemblokiran iklan — memblokir iklan dan pelacak di level DNS |
| NextDNS | <YOUR-ID>.dns.nextdns.io | Custom | Kustomisasi — daftar blokir dan analitik yang sepenuhnya bisa dikonfigurasi |
Manfaat Menggunakan Private DNS
Mengaktifkan private DNS di perangkat Anda memberikan peningkatan keamanan dan privasi secara langsung.
Menghentikan pengintipan ISP — ISP Anda tidak lagi bisa melihat domain mana yang Anda kueri atau membuat profil browsing dari traffic DNS Anda
Mencegah DNS spoofing — Autentikasi TLS memverifikasi bahwa Anda berkomunikasi dengan server DNS yang asli, bukan penyerang
Melindungi di Wi-Fi publik — Pengguna lain di jaringan yang sama tidak bisa mencegat kueri DNS Anda
Memblokir pembajakan DNS — Kueri Anda tidak bisa dialihkan secara diam-diam oleh router yang diretas atau jaringan berbahaya
Melewati proxy DNS transparan — Beberapa ISP mencegat DNS di port 53 meskipun Anda menggunakan server pihak ketiga. DNS terenkripsi menggunakan port berbeda, melewati proxy ini
Pemblokiran iklan dan malware opsional — Penyedia seperti AdGuard, NextDNS, dan Quad9 bisa memblokir iklan, pelacak, dan domain berbahaya di level DNS
Berfungsi di seluruh sistem — Setelah diaktifkan, private DNS melindungi semua aplikasi di perangkat Anda, bukan hanya browser
Potensi Kekurangan Private DNS
Private DNS tidak sempurna. Berikut kompromi yang perlu Anda ketahui.
Sedikit latensi pada kueri pertama — Handshake TLS menambahkan sekitar 15-35ms pada kueri DNS pertama. Setelah itu, koneksi digunakan kembali dan kueri berikutnya sama cepatnya.
Captive portal mungkin bermasalah — Jaringan Wi-Fi hotel, bandara, dan kafe yang memerlukan halaman login sering membutuhkan DNS tidak terenkripsi untuk mengarahkan Anda. Private DNS bisa mencegah portal ini dimuat.
Jaringan perusahaan mungkin memblokirnya — Departemen IT membutuhkan visibilitas DNS untuk pemantauan keamanan. Banyak jaringan enterprise sengaja memblokir DNS terenkripsi ke resolver eksternal.
Kekhawatiran sentralisasi — DNS terenkripsi mendorong penggunaan beberapa resolver besar (Cloudflare, Google), memusatkan traffic DNS pada lebih sedikit perusahaan.
Tidak mengenkripsi semuanya — Private DNS mengenkripsi kueri domain, tetapi ISP Anda masih bisa melihat alamat IP yang Anda hubungi melalui SNI di handshake TLS (kecuali Anda juga menggunakan ECH).
Masalah split-horizon DNS — Organisasi yang menggunakan DNS internal vs eksternal yang berbeda mungkin mengalami masalah ketika perangkat melewati resolver internal.
'Jaringan Ini Memblokir Traffic DNS Terenkripsi' — Artinya
Jika Anda melihat peringatan ini di iPhone atau Mac, artinya jaringan yang Anda gunakan mencegah kueri DNS terenkripsi Anda mencapai tujuannya. Kueri DNS Anda dikirim dalam teks biasa, dan siapa pun di jaringan bisa melihat domain mana yang Anda kunjungi.
Peringatan ini biasanya muncul di jaringan perusahaan, Wi-Fi sekolah, jaringan hotel dan bandara dengan captive portal, dan jaringan dengan firmware router lama yang tidak mendukung DNS terenkripsi.
Restart perangkat dan router Anda — Ini mereset proses jaringan dan sering mengatasi masalah sementara
Lupakan jaringan Wi-Fi dan sambungkan ulang — Buka pengaturan Wi-Fi, lupakan jaringan, lalu gabung kembali
Perbarui firmware router — Firmware lama mungkin tidak menangani traffic DNS terenkripsi dengan benar
Gunakan VPN — VPN mengenkripsi semua traffic termasuk DNS, melewati pemblokiran DNS di level jaringan
Terima di jaringan terkelola — Di jaringan perusahaan atau sekolah, pemblokiran DNS terenkripsi sering kali disengaja untuk pemantauan keamanan. Anda mungkin tidak bisa melewatinya
Cara Memverifikasi Private DNS Berfungsi
Setelah mengaktifkan private DNS, Anda sebaiknya memverifikasi bahwa kueri Anda benar-benar dienkripsi dan dialihkan melalui penyedia yang Anda pilih.
Halaman diagnostik Cloudflare — Kunjungi 1.1.1.1/help untuk melihat apakah Anda menggunakan DoH, DoT, atau DNS teks biasa, dan resolver mana yang menangani kueri Anda
DNS leak test — Kunjungi dnsleaktest.com dan jalankan tes yang diperluas. Jika Anda hanya melihat server penyedia yang Anda pilih (bukan milik ISP), DNS terenkripsi Anda berfungsi dengan benar
Gunakan tool DNS Lookup kami — DNS Lookup DNS Robot memungkinkan Anda mengkueri server DNS tertentu untuk memverifikasi mereka merespons sesuai harapan
Browser leak test — Kunjungi browserleaks.com/dns untuk memeriksa server DNS mana yang digunakan browser Anda
# Test DNS over TLS with kdig
kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
# Check which resolver is responding
dig whoami.cloudflare.com TXT @1.1.1.1
# Test DNS over HTTPS with curl
curl -s -H 'accept: application/dns-json' \
'https://cloudflare-dns.com/dns-query?name=example.com&type=A'Periksa Konfigurasi DNS Anda
Gunakan tool DNS Lookup dari DNS Robot untuk memverifikasi pengaturan DNS Anda, memeriksa nameserver mana yang merespons, dan mengatasi masalah DNS.
Try DNS LookupFrequently Asked Questions
Private DNS di Android adalah fitur bawaan (sejak Android 9) yang mengenkripsi kueri DNS Anda menggunakan DNS over TLS. Ketika diaktifkan, semua aplikasi di perangkat Anda mengirim kueri DNS melalui tunnel terenkripsi, mencegah ISP dan operator jaringan melihat website mana yang Anda kunjungi.