Що таке DNS-Over-HTTPS і як його ввімкнути на своєму пристрої (або веб-переглядачі)

• Категорія: Екскурсоводи

Спробуйте Наш Інструмент Для Усунення Проблем

Виберіть Операційну Систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Виберіть Програму Проекції (Необов'Язково) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишіть Свою Проблему

Отримати Відповідь

Надіслати Мене Електронною Поштою Показати На Сайті

DNS-over-HTTPS (Secure DNS)-це нова технологія, яка має на меті забезпечити безпеку перегляду веб-сторінок шляхом шифрування зв'язку між клієнтським комп'ютером та сервером DNS.

Цей новий стандарт Інтернету широко приймається. Список прийняття включає Windows 10 (версія 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera та Vivaldi.

У цій статті ми обговоримо переваги та недоліки DNS-over-HTTPS та те, як увімкнути цей протокол на своїх пристроях.

Ми також обговоримо, як перевірити, чи DoH увімкнено для ваших пристроїв чи ні.

Давайте почнемо. Короткий підсумок сховатись 1 Просте пояснення DNS-over-HTTPS і як це працює 2 Плюси і мінуси DNS-over-HTTPS 2.1 DoH не забезпечує повну конфіденційність користувача 2.2 DoH не застосовується до HTTP -запитів 2.3 Не всі DNS -сервери підтримують DoH 2.4 DoH стане головним болем для підприємств 3 Чи уповільнює використання DNS-over-HTTPS перегляд? 4 Як увімкнути або вимкнути DNS-over-HTTPS у Windows 10 4.1 Використання реєстру Windows 4.2 Використання групової політики 4.3 Використання PowerShell (командний рядок) 5 Як увімкнути або вимкнути DNS-over-HTTPS у своїх браузерах 5.1 Увімкніть DNS-over-HTTPS у Google Chrome 5.2 Увімкніть DNS-over-HTTPS у Mozilla Firefox 5.3 Увімкніть DNS-over-HTTPS у Microsoft Edge 5.4 Увімкніть DNS-over-HTTPS у браузері Opera 5.5 Увімкніть DNS-over-HTTPS у браузері Vivaldi 6 Як увімкнути DNS-over-HTTPS в Android 7 Як перевірити, чи ви використовуєте DNS-over-HTTPS? 8 Список серверів імен, які підтримують DoH

Просте пояснення DNS-over-HTTPS і як це працює

DNS-over-HTTPS (DoH)-це протокол для шифрування запитів DNS між вашим комп’ютером та DNS-сервером. Вперше він був представлений у жовтні 2018 року ( IETF RFC 8484 ) з метою підвищення безпеки та конфіденційності користувачів.

Традиційні сервери DNS використовують DNS-порт 53 для спілкування, тоді як DNS-over-HTTPS використовує порт 443 HTTPS для безпечного спілкування з клієнтом.

Зверніть увагу, що хоча DoH є протоколом безпеки, він не заважає провайдерам відстежувати ваші запити. Він просто шифрує дані запитів DNS між вашим комп'ютером та провайдером, щоб запобігти таким проблемам, як підробка, атака 'людина посередині' тощо.

Давайте зрозуміємо це на простому прикладі.

Ось як працює DNS:

1. Якщо ви хочете відкрити доменне ім’я itechtics.com і надіслати запит на це за допомогою свого браузера.
2. Ваш браузер надсилає запит на DNS -сервер, налаштований у вашій системі, наприклад, 1.1.1.1.
3. Рекурсивний резольвер DNS (1.1.1.1) переходить на кореневі сервери домену верхнього рівня (TLD) (.com у нашому випадку) і запитує сервери імен itechtics.com.
4. Потім DNS -сервер (1.1.1.1) переходить на сервери імен itechtics.com і запитує IP -адресу DNS -адреси itechtics.com.
5. DNS -сервер (1.1.1.1) передає цю інформацію браузеру, а браузер підключається до itechtics.com і отримує відповідь від сервера.

Весь цей зв'язок від вашого комп’ютера до DNS -сервера до TLD DNS -серверів до серверів імен на веб -сайт та назад здійснюється у вигляді простих текстових повідомлень.

Це означає, що кожен може відстежувати ваш веб -трафік і легко знати, які веб -сайти ви відкриваєте.

DNS-over-HTTPS шифрує всю комунікацію між вашим комп’ютером та сервером DNS, роблячи його більш безпечним і менш схильним до атак людини посередині та інших атак підробки.

Давайте зрозуміємо це на наочному прикладі:

Коли DNS -клієнт надсилає DNS -запити на DNS -сервер без використання DoH:

DNS через HTTPS не ввімкнено

Коли клієнт DoH використовує протокол DoH для надсилання DNS -трафіку на DNS -сервер із підтримкою DoH:

Увімкнено DNS через HTTPS

Тут ви можете побачити, що трафік DNS від клієнта до сервера зашифрований, і ніхто не знає, що клієнт запитував. Відповідь DNS від сервера також зашифрована.

Плюси і мінуси DNS-over-HTTPS

Хоча DNS-over-HTTPS повільно замінить застарілу систему DNS, вона має свої переваги та потенційні проблеми. Обговоримо деякі з них тут.

DoH не забезпечує повну конфіденційність користувача

DoH рекламується як наступна велика річ у конфіденційності та безпеці користувачів, але, на мою думку, він зосереджений лише на безпеці користувачів, а не на конфіденційності.

Якщо ви знаєте, як працює цей протокол, вам буде відомо, що DoH не перешкоджає провайдерам відстежувати запити DNS користувача.

Навіть якщо провайдер не може відстежувати вас за допомогою DNS, оскільки ви використовуєте іншого загальнодоступного постачальника послуг DNS, є багато точок даних, які все ще відкриті для провайдерів для відстеження. Наприклад, Поля індикації імені сервера (SNI) та Інтернет -з'єднання протоколу статусу сертифіката (OCSP) тощо.

Якщо ви хочете більше конфіденційності, вам слід перевірити інші технології, такі як DNS-over-TLS (DoT), DNSCurve, DNSCrypt тощо.

DoH не застосовується до HTTP -запитів

Якщо ви відкриваєте веб-сайт, який не працює за допомогою протоколу SSL, сервер DoH повернеться до застарілої технології DNS (DNS-over-HTTP), також відомої як Do53.

Але якщо ви всюди використовуєте безпечний зв'язок, DoH однозначно краще, ніж використання старих та небезпечних DNS -технологій.

Не всі DNS -сервери підтримують DoH

Існує велика кількість застарілих DNS-серверів, які потрібно буде оновити для підтримки DNS-over-HTTPS. Для широкомасштабного усиновлення знадобиться багато часу.

Поки цей протокол не підтримується більшістю серверів DNS, більшість користувачів будуть змушені користуватися загальнодоступними серверами DNS, пропонованими великими організаціями.

Це призведе до збільшення проблем конфіденційності, оскільки більшість даних DNS збиратиметься в кількох централізованих місцях по всьому світу.

Іншим недоліком раннього прийняття DoH є те, що якщо глобальний DNS -сервер знизиться, він спотворює більшість користувачів, які використовують сервер для вирішення імен.

DoH стане головним болем для підприємств

Хоча DoH покращить безпеку, це буде головним болем для підприємств та організацій, які здійснюють моніторинг діяльності своїх співробітників та використовують інструменти для блокування частин мережі NSFW (небезпечних для роботи).

Адміністраторам мережі та системи буде важко впоратися з новим протоколом.

Чи уповільнює використання DNS-over-HTTPS перегляд?

Під час тестування продуктивності за застарілим протоколом Do53 слід звернути увагу на два аспекти DoH:

1. Продуктивність вирішення імен
2. Продуктивність завантаження веб -сторінки

Продуктивність вирішення імен - це показник, який ми використовуємо для обчислення часу, необхідного для того, щоб DNS -сервер дав нам необхідну IP -адресу сервера веб -сайту, який ми хочемо відвідати.

Продуктивність завантаження веб-сторінок-це фактичний показник того, чи відчуваємо ми сповільнення під час перегляду Інтернету за протоколом DNS-over-HTTPS.

Обидва ці тести були проведені компанією samknows, і кінцевий результат полягає в тому, що існує незначна різниця в продуктивності між DNS-over-HTTPS та застарілими протоколами Do53.

Ви можете прочитати повний аналіз ефективності зі статистикою на samknows .

Ось зведені таблиці для кожного показника, який ми визначили вище. (Натисніть на зображення для збільшення)

Тест продуктивності дозволу імені

Таблиця ефективності DoH проти Do53

Тест продуктивності завантаження веб -сторінки

Продуктивність завантаження DoH проти Do53

Як увімкнути або вимкнути DNS-over-HTTPS у Windows 10

Windows 10 версії 2004 поставляється з увімкненим DNS-over-HTTPS за замовчуванням. Тож після того, як вийде наступна версія Windows 10 і ви оновите її до останньої версії, не потрібно буде вмикати DoH вручну.

Однак, якщо ви використовуєте Windows 10 Insider Preview, вам потрібно буде ввімкнути DoH вручну за допомогою таких методів:

Використання реєстру Windows

1. Йти до Виконати -> regedit . Відкриється редактор реєстру Windows.
2. Відкрийте такий розділ реєстру:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
3. Клацніть правою кнопкою миші Параметри папку та виберіть Нове-> DWORD (32-розрядна версія) Цінність.
4. Назвіть це EnableAutoDoh .
5. Встановіть значення запису EnableAutoDoh на 2 .
   

Щоб зміни вступили в силу, вам потрібно буде перезавантажити комп’ютер.

Зверніть увагу, що ця зміна набуде чинності лише тоді, коли ви використовуєте DNS-сервери, які підтримують DNS-over-HTTPS. Нижче ви знайдете a список публічних постачальників DNS, які підтримують DoH .

Попередні версії Windows 10, включаючи версії 1909 та 1903, не підтримують DoH за замовчуванням.

Використання групової політики

Я зберігаю цей розділ для подальшого використання. Наразі немає правил групової політики для DNS-over-HTTPS. Ми виконаємо ці кроки, коли Microsoft зробить їх доступними для Windows 10 версії 2004.

Використання PowerShell (командний рядок)

Я зберігаю цей розділ для подальшого використання. Якщо Microsoft надає спосіб увімкнути або вимкнути DoH за допомогою командного рядка, ми перерахуємо кроки тут.

Як увімкнути або вимкнути DNS-over-HTTPS у своїх браузерах

Деякі програми підтримують обхід системного DNS-сервера і замість цього використовують DNS-over-HTTPS. Майже всі сучасні браузери або вже підтримують DoH, або підтримуватимуть протокол найближчим часом.

Увімкніть DNS-over-HTTPS у Google Chrome

1. Відкрийте Google Chrome і перейдіть за такою URL -адресою:
   chrome://settings/security
2. Під Розширена безпека , увімкнути Використовуйте захищений DNS .
3. Після ввімкнення захищеного DNS буде два варіанти:
   • З поточним постачальником послуг
   • З рекомендованими постачальниками послуг Google

Ви можете вибрати все, що вам підходить. Другий варіант буде перевищувати налаштування DNS вашої системи.

Увімкніть захищений DNS у Google Chrome

Щоб вимкнути DoH, просто перемкніть Використовуйте захищений DNS налаштування до вимкнено .

Увімкніть DNS-over-HTTPS у Mozilla Firefox

1. Відкрийте Firefox і перейдіть за такою URL -адресою:
   about:preferences
2. Під загальні , йти до Налаштування мережі і натисніть на Налаштування кнопку. Або просто натисніть кнопку І клавішу клавіатури, щоб відкрити налаштування.
3. Прокрутіть униз і перевірити Увімкніть DNS через HTTPS .
4. У спадному меню ви можете вибрати бажаний захищений DNS-сервер.
   

Увімкніть DNS-over-HTTPS у Microsoft Edge

1. Відкрийте Microsoft Edge і перейдіть за такою URL -адресою:
   edge://flags/#dns-over-https
2. Виберіть Увімкнено зі спадного меню поруч Безпечний пошук DNS .
3. Перезапустіть браузер, щоб зміни набули чинності.
   

Увімкніть DNS-over-HTTPS у браузері Opera

1. Відкрийте браузер Opera і перейдіть до Налаштування (Alt + P).
2. Розгорнути Розширений у меню ліворуч.
3. Під системою, увімкнути Використовуйте DNS-over-HTTPS замість налаштувань DNS системи .
4. Перезапустіть браузер, щоб зміни набули чинності.
   

Налаштування захищеного DNS не діяли, доки я не вимкнув вбудовану службу VPN Opera. Якщо у вас виникли проблеми з увімкненням DoH в Opera, спробуйте вимкнути VPN.

Увімкніть DNS-over-HTTPS у браузері Vivaldi

1. Відкрийте браузер Vivaldi і перейдіть за такою URL -адресою:
   vivaldi://flags/#dns-over-https
2. Виберіть Увімкнено зі спадного меню поруч Безпечний пошук DNS .
3. Перезапустіть браузер, щоб зміни набули чинності.
   

Як увімкнути DNS-over-HTTPS в Android

Android 9 Pie підтримує налаштування DoH. Щоб увімкнути DoH на телефоні Android, виконайте наведені нижче дії.

1. Йти до Налаштування → Мережа та Інтернет → Додатково → Приватний DNS .
2. Ви можете або встановити цей параметр на Авто, або самостійно вказати захищеного постачальника DNS.
   

Якщо ви не можете знайти ці налаштування на своєму телефоні, виконайте наведені нижче дії.

1. Завантажте та відкрийте програму QuickShortcutMaker з магазину Google Play.
2. Перейдіть до Налаштування та торкніться:
   com.android.settings.Settings$NetworkDashboardActivity

Це перенесе вас безпосередньо на сторінку налаштувань мережі, де ви знайдете опцію захищеного DNS.

Як перевірити, чи ви використовуєте DNS-over-HTTPS?

Існує два способи перевірити, чи належним чином увімкнено функцію DoH для вашого пристрою чи браузера.

Найпростіший спосіб перевірити це, перейшовши за посиланням ця сторінка перевірки досвіду роботи у веб -переглядачі cloudflare . Натисніть на Перевірте Мій браузер кнопку.

У розділі Захищений DNS, якщо ви використовуєте DoH, ви отримаєте таке повідомлення: | _+_ |

Якщо ви не використовуєте DoH, ви отримаєте таке повідомлення: | _+_ |

Windows 10 версії 2004 також дає можливість моніторингу пакетів портів 53 у режимі реального часу. Це скаже нам, чи система використовує DNS-over-HTTPS або застарілий Do53.

1. Відкрийте PowerShell з правами адміністратора.
2. Виконайте такі команди:
   pktmon filter remove
   Це видалить усі активні фільтри, якщо такі є.
   pktmon filter add -p 53
   Це додає порт 53 для моніторингу та реєстрації.
   pktmon start --etw -m real-time
   Це починається з моніторингу порту 53 у режимі реального часу.
   

Якщо ви бачите, що у списку відображається багато трафіку, це означає, що старий Do53 використовується замість DoH.

Зверніть увагу, що вищезгадані команди працюватимуть лише у Windows 10 версії 2004. В іншому випадку це видасть вам помилку: Невідомий параметр 'реальний час'

Список серверів імен, які підтримують DoH

Ось список постачальників послуг DNS, які підтримують DNS-over-HTTPS.

Провайдер	Ім'я хоста	IP-адреса
AdGuard	dns.adguard.com	176,103,130,132 176,103,130,134
AdGuard	dns-family.adguard.com	176,103,130,132 176,103,130,134
CleanBrowing	family-filter-dns.cleanbrowsing.org	185,228,168,168 185,228,169,168
CleanBrowing	adult-filter-dns.cleanbrowsing.org	185.228.168.10 185.228.169.11
Cloudflare	один.один.один 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Cloudflare	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Cloudflare	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
NextDNS	dns.nextdns.io	45.90.28.0 45.90.30.0
OpenDNS	dns.opendns.com	208.67.222.222 208.67.220.220
OpenDNS	familyshield.opendns.com	208.67.222.123 208.67.220.123
OpenDNS	sandbox.opendns.com	208.67.222.2 208.67.220.2
Quad9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149,112,112,112

Хоча DNS-over-HTTPS робить мережу більш безпечною і її слід однаково впроваджувати в Інтернеті (наприклад, у випадку HTTPS), цей протокол збирається створювати кошмари системним адміністраторам.

Сисадміни повинні шукати способи блокування публічних служб DNS, одночасно дозволяючи власним DNS-серверам використовувати DoH. Це необхідно зробити для того, щоб у всій організації діяло поточне обладнання для моніторингу та політика обмежень.

Якщо я щось пропустив у статті, дайте мені знати в коментарях нижче. Якщо вам сподобалася стаття і ви дізналися щось нове, поділіться нею з друзями та у соціальних мережах та підпишіться на нашу розсилку.