Что такое DNS-Over-HTTPS и как включить его на вашем устройстве (или в браузере)

Попробуйте наш инструмент устранения неполадок

DNS-over-HTTPS (Secure DNS) - это новая технология, направленная на обеспечение безопасности просмотра веб-страниц путем шифрования связи между клиентским компьютером и DNS-сервером.

Этот новый стандарт Интернета получает широкое распространение. Список внедрения включает Windows 10 (версия 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera и Vivaldi, и это лишь некоторые из них.

В этой статье мы обсудим преимущества и недостатки DNS-over-HTTPS и то, как включить этот протокол на ваших устройствах.

Мы также обсудим, как проверить, включен ли DoH для ваших устройств или нет.

Давай начнем. Краткое резюме Спрятать 1 Простое объяснение DNS-over-HTTPS и того, как это работает 2 Плюсы и минусы DNS-over-HTTPS 2.1 DoH не обеспечивает полную конфиденциальность пользователя 2.2 DoH не применяется к HTTP-запросам 2.3 Не все DNS-серверы поддерживают DoH 2,4 DoH станет головной болью для предприятий 3 Уменьшает ли использование DNS-over-HTTPS просмотр веб-страниц? 4 Как включить или отключить DNS-over-HTTPS в Windows 10 4.1 Использование реестра Windows 4.2 Использование групповой политики 4.3 Использование PowerShell (командная строка) 5 Как включить или отключить DNS-over-HTTPS в ваших браузерах 5.1 Включить DNS-over-HTTPS в Google Chrome 5.2 Включите DNS-over-HTTPS в Mozilla Firefox 5,3 Включение DNS-over-HTTPS в Microsoft Edge 5,4 Включите DNS-over-HTTPS в браузере Opera 5.5 Включите DNS-over-HTTPS в браузере Vivaldi 6 Как включить DNS-over-HTTPS в Android 7 Как вы проверяете, используете ли вы DNS-over-HTTPS? 8 Список серверов имен, поддерживающих DoH

Простое объяснение DNS-over-HTTPS и того, как это работает

DNS-over-HTTPS (DoH) - это протокол для шифрования DNS-запросов между вашим компьютером и DNS-сервером. Впервые он был представлен в октябре 2018 г. ( IETF RFC 8484 ) с целью повышения безопасности и конфиденциальности пользователей.

Традиционные DNS-серверы используют DNS-порт 53 для связи, в то время как DNS-over-HTTPS использует HTTPS-порт 443 для безопасного взаимодействия с клиентом.

Обратите внимание, что хотя DoH является протоколом безопасности, он не мешает интернет-провайдерам отслеживать ваши запросы. Он просто шифрует данные DNS-запроса между вашим компьютером и интернет-провайдером, чтобы предотвратить такие проблемы, как спуфинг, атака посредника и т. Д.

Давайте разберемся в этом на простом примере.

Вот как работает DNS:

  1. Если вы хотите открыть доменное имя itechtics.com и запросить его с помощью браузера.
  2. Ваш браузер отправляет запрос на DNS-сервер, настроенный в вашей системе, например, 1.1.1.1.
  3. Рекурсивный преобразователь DNS (1.1.1.1) обращается к корневым серверам домена верхнего уровня (TLD) (в нашем случае .com) и запрашивает серверы имен itechtics.com.
  4. Затем DNS-сервер (1.1.1.1) переходит к серверам имен itechtics.com и запрашивает IP-адрес DNS-имени itechtics.com.
  5. DNS-сервер (1.1.1.1) передает эту информацию браузеру, и браузер подключается к itechtics.com и получает ответ от сервера.

Вся эта связь от вашего компьютера к DNS-серверу, к DNS-серверам TLD, к серверам имен, к веб-сайту и обратно осуществляется в форме простых текстовых сообщений.

Это означает, что любой может отслеживать ваш веб-трафик и легко узнавать, какие веб-сайты вы открываете.

DNS-over-HTTPS шифрует всю связь между вашим компьютером и DNS-сервером, делая его более безопасным и менее уязвимым для атак типа «злоумышленник в середине» и других атак с подделкой.

Давайте разберемся в этом на наглядном примере:

Когда DNS-клиент отправляет DNS-запросы на DNS-сервер без использования DoH:

DNS через HTTPS не включен

Когда клиент DoH использует протокол DoH для отправки DNS-трафика на DNS-сервер с поддержкой DoH:

DNS через HTTPS включен

Здесь вы можете видеть, что трафик DNS от клиента к серверу зашифрован, и никто не знает, что запросил клиент. Ответ DNS от сервера также зашифрован.

Плюсы и минусы DNS-over-HTTPS

Хотя DNS-over-HTTPS будет постепенно заменять устаревшую систему DNS, у нее есть свои преимущества и потенциальные проблемы. Давайте обсудим некоторые из них здесь.

DoH не обеспечивает полную конфиденциальность пользователя

DoH рекламируется как следующая важная вещь в области конфиденциальности и безопасности пользователей, но, на мой взгляд, она ориентирована только на безопасность пользователей, а не на конфиденциальность.

Если вы знаете, как работает этот протокол, вы будете знать, что DoH не мешает интернет-провайдерам отслеживать запросы DNS пользователей.

Даже если интернет-провайдер не может отследить вас с помощью DNS, потому что вы используете другого общедоступного поставщика DNS, есть много точек данных, которые все еще открыты для отслеживания интернет-провайдерами. Например, Поля индикации имени сервера (SNI) а также Подключения по протоколу Online Certificate Status Protocol (OCSP) и т.п.

Если вы хотите большей конфиденциальности, вам следует проверить другие технологии, такие как DNS-over-TLS (DoT), DNSCurve, DNSCrypt и т. Д.

DoH не применяется к HTTP-запросам

Если вы открываете веб-сайт, который не работает с использованием SSL, сервер DoH вернется к устаревшей технологии DNS (DNS-over-HTTP), также известной как Do53.

Но если вы используете безопасную связь повсюду, DoH определенно лучше, чем использование старых и небезопасных технологий DNS с нуля.

Не все DNS-серверы поддерживают DoH

Существует большое количество устаревших DNS-серверов, которые необходимо обновить для поддержки DNS-over-HTTPS. Для широкого распространения потребуется много времени.

Пока этот протокол не будет поддерживаться большинством DNS-серверов, большинство пользователей будут вынуждены использовать общедоступные DNS-серверы, предлагаемые крупными организациями.

Это приведет к большему количеству проблем с конфиденциальностью, поскольку большая часть данных DNS будет собираться в нескольких централизованных точках по всему миру.

Еще одним недостатком раннего внедрения DoH является то, что если глобальный DNS-сервер выйдет из строя, он отключит большинство пользователей, использующих сервер для разрешения имен.

DoH станет головной болью для предприятий

Хотя DoH улучшит безопасность, это будет головной болью для предприятий и организаций, которые отслеживают действия своих сотрудников и используют инструменты для блокировки NSFW (небезопасных для работы) частей сети.

Сетевым и системным администраторам будет сложно справиться с новым протоколом.

Уменьшает ли использование DNS-over-HTTPS просмотр веб-страниц?

При тестировании производительности по сравнению с устаревшим протоколом Do53 необходимо обратить внимание на два аспекта DoH:

  1. Производительность разрешения имен
  2. Скорость загрузки веб-страницы

Эффективность разрешения имен - это показатель, который мы используем для расчета времени, которое требуется DNS-серверу, чтобы предоставить нам требуемый IP-адрес сервера веб-сайта, который мы хотим посетить.

Производительность загрузки веб-страницы - это фактический показатель того, чувствуем ли мы какое-либо замедление при просмотре Интернета с использованием протокола DNS-over-HTTPS.

Оба этих теста были выполнены samknows, и окончательный результат показал, что разница в производительности между DNS-over-HTTPS и устаревшими протоколами Do53 незначительна.

Вы можете прочитать полный пример использования со статистикой в ​​samknows .

Вот сводные таблицы для каждой метрики, которую мы определили выше. (Щелкните изображение, чтобы увеличить его)

Тест производительности разрешения имен Таблица производительности провайдеров DoH и Do53

Таблица производительности провайдеров DoH и Do53

Тест производительности загрузки веб-страницы DoH vs Do53 производительность загрузки веб-страниц

DoH vs Do53 производительность загрузки веб-страниц

Как включить или отключить DNS-over-HTTPS в Windows 10

Windows 10 версии 2004 будет поставляться с включенным DNS-over-HTTPS по умолчанию. Поэтому после выпуска следующей версии Windows 10 и обновления до последней версии нет необходимости включать DoH вручную.

Однако, если вы используете Windows 10 Insider Preview, вам нужно будет включить DoH вручную, используя следующие методы:

Использование реестра Windows

  1. Перейти к Выполнить -> regedit . Откроется редактор реестра Windows.
  2. Откройте следующий раздел реестра:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
  3. Щелкните правой кнопкой мыши на Параметры папку и выберите Новое -> DWORD (32-бит) Ценить.
  4. Назови это EnableAutoDoh .
  5. Установите значение записи EnableAutoDoh на 2 .

Вам нужно будет перезагрузить компьютер, чтобы изменения вступили в силу.

Обратите внимание, что это изменение вступит в силу только при использовании DNS-серверов, поддерживающих DNS-over-HTTPS. Ниже вы найдете список общедоступных DNS-провайдеров, поддерживающих DoH .

Более ранние версии Windows 10, включая версии 1909 и 1903, по умолчанию не поддерживают DoH.

Использование групповой политики

Я сохраняю этот раздел для использования в будущем. На данный момент нет правил групповой политики для DNS-over-HTTPS. Мы выполним шаги, когда Microsoft сделает их доступными для Windows 10 версии 2004.

Использование PowerShell (командная строка)

Я сохраняю этот раздел для использования в будущем. Если Microsoft предоставляет способ включить или отключить DoH с помощью командной строки, мы перечислим шаги здесь.

Как включить или отключить DNS-over-HTTPS в ваших браузерах

Некоторые приложения поддерживают обход настроенного системой DNS-сервера и вместо этого используют DNS-over-HTTPS. Практически все современные браузеры либо уже поддерживают DoH, либо будут поддерживать протокол в ближайшем будущем.

Включить DNS-over-HTTPS в Google Chrome

  1. Откройте Google Chrome и перейдите по следующему URL-адресу:
    chrome://settings/security
  2. Под Расширенная безопасность , включить Используйте безопасный DNS .
  3. После включения безопасного DNS будет два варианта:
    • У вашего текущего поставщика услуг
    • С поставщиками услуг, рекомендованными Google

Вы можете выбрать то, что вам подходит. Второй вариант отменяет настройки DNS вашей системы.

Включить безопасный DNS в Google Chrome

Чтобы отключить DoH, просто переключите Используйте безопасный DNS настройки для выключенный .

Включите DNS-over-HTTPS в Mozilla Firefox

  1. Откройте Firefox и перейдите по следующему URL-адресу:
    about:preferences
  2. Под Общее , перейти к Настройки сети и нажмите на Настройки кнопка. Или просто нажмите А ТАКЖЕ клавиша клавиатуры, чтобы открыть настройки.
  3. Прокрутите вниз и проверить Включить DNS через HTTPS .
  4. В раскрывающемся списке вы можете выбрать предпочитаемый безопасный DNS-сервер.

Включение DNS-over-HTTPS в Microsoft Edge

  1. Откройте Microsoft Edge и перейдите по следующему URL-адресу:
    edge://flags/#dns-over-https
  2. Выбирать Включено из раскрывающегося списка рядом Безопасный поиск DNS .
  3. Перезапустите браузер, чтобы изменения вступили в силу.

Включите DNS-over-HTTPS в браузере Opera

  1. Откройте браузер Opera и перейдите в «Настройки» (Alt + P).
  2. Расширять Передовой в левом меню.
  3. Под системой, включить Используйте DNS-over-HTTPS вместо системных настроек DNS. .
  4. Перезапустите браузер, чтобы изменения вступили в силу.

Настройки безопасного DNS не вступили в силу, пока я не отключил встроенный в Opera VPN-сервис. Если у вас возникли проблемы с включением DoH в Opera, попробуйте отключить VPN.

Включите DNS-over-HTTPS в браузере Vivaldi

  1. Откройте браузер Vivaldi и перейдите по следующему URL-адресу:
    vivaldi://flags/#dns-over-https
  2. Выбирать Включено из раскрывающегося списка рядом Безопасный поиск DNS .
  3. Перезапустите браузер, чтобы изменения вступили в силу.

Как включить DNS-over-HTTPS в Android

Android 9 Pie поддерживает настройки DoH. Вы можете выполнить следующие действия, чтобы включить DoH на своем телефоне Android:

  1. Перейти к Настройки → Сеть и Интернет → Дополнительно → Частный DNS .
  2. Вы можете установить для этого параметра значение Авто или самостоятельно указать безопасного поставщика DNS.

Если вы не можете найти эти настройки на своем телефоне, вы можете выполнить следующие действия:

  1. Загрузите и откройте приложение QuickShortcutMaker. из магазина Google Play.
  2. Зайдите в Настройки и нажмите:
    com.android.settings.Settings$NetworkDashboardActivity

Это приведет вас прямо на страницу настроек сети, где вы найдете опцию безопасного DNS.

Как вы проверяете, используете ли вы DNS-over-HTTPS?

Есть два способа проверить, правильно ли включен DoH на вашем устройстве или в браузере.

Самый простой способ проверить это - зайти в эта страница проверки опыта просмотра в облаке . Щелкните значок Проверить мой браузер кнопка.

В разделе «Безопасный DNS» вы получите следующее сообщение, если используете DoH: pktmon filter remove

Если вы не используете DoH, вы получите следующее сообщение: pktmon filter add -p 53

Windows 10 версии 2004 также позволяет отслеживать пакеты порта 53 в режиме реального времени. Это скажет нам, использует ли система DNS-over-HTTPS или устаревшую Do53.

  1. Откройте PowerShell с правами администратора.
  2. Выполните следующие команды:
    pktmon start --etw -m real-time
    Это удаляет все активные фильтры, если таковые имеются. 
    You are using encrypted DNS transport with 1.1.1.1

    Это добавляет порт 53, который нужно отслеживать и регистрировать. 
    You may not be using secure DNS.

    Это начинается с мониторинга порта 53 в реальном времени.

Если в списке отображается большой объем трафика, это означает, что вместо DoH используется устаревший Do53.

Обратите внимание, что вышеупомянутые команды будут работать только в Windows 10 версии 2004. В противном случае вы получите сообщение об ошибке: Неизвестный параметр «в реальном времени».

Список серверов имен, поддерживающих DoH

Вот список поставщиков услуг DNS, которые поддерживают DNS-over-HTTPS.

Провайдер Имя хоста Айпи адрес
AdGuarddns.adguard.com176 103 130 132
176 103 130 134
AdGuarddns-family.adguard.com176 103 130 132
176 103 130 134
Очиститьfamily-filter-dns.cleanbrowsing.org185 228 168 168
185 228 169 168
Очиститьadult-filter-dns.cleanbrowsing.org185.228.168.10
185.228.169.11
Cloudflareone.one.one.one
1dot1dot1dot1.cloudflare-dns.com		1.1.1.1
1.0.0.1
Cloudflaresecurity.cloudflare-dns.com1.1.1.2
1.0.0.2
Cloudflarefamily.cloudflare-dns.com1.1.1.3
1.0.0.3
Googledns.google
google-public-dns-a.google.com
google-public-dns-b.google.com		8.8.8.8
8.8.4.4
NextDNSdns.nextdns.io45.90.28.0
45.90.30.0
OpenDNSdns.opendns.com208.67.222.222
208.67.220.220
OpenDNSfamilyshield.opendns.com208.67.222.123
208.67.220.123
OpenDNSsandbox.opendns.com208.67.222.2
208.67.220.2
Quad9dns.quad9.net
rpz-public-resolver1.rrdns.pch.net		9.9.9.9
149 112 112 112

Хотя DNS-over-HTTPS делает Интернет более безопасным и должен быть реализован единообразно во всем Интернете (как в случае HTTPS), этот протокол станет кошмаром для системных администраторов.

Системным администраторам необходимо найти способы блокировать общедоступные службы DNS, одновременно позволяя своим внутренним DNS-серверам использовать DoH. Это необходимо сделать, чтобы текущее оборудование для мониторинга и политики ограничений оставались активными во всей организации.

Если я что-то пропустил в статье, дайте мне знать в комментариях ниже. Если вам понравилась статья и вы узнали что-то новое, поделитесь ею с друзьями и в социальных сетях и подпишитесь на нашу рассылку.