DoH वापरून तुमच्या राउटरला स्पर्श न करता तुमचा DNS कसा एन्क्रिप्ट करायचा: एक संपूर्ण मार्गदर्शक

¿HTTPS वर DNS वापरून तुमच्या राउटरला स्पर्श न करता तुमचा DNS कसा एन्क्रिप्ट करायचा? तुम्ही कोणत्या वेबसाइटशी कनेक्ट होता हे कोण पाहू शकते याबद्दल जर तुम्हाला काळजी वाटत असेल, HTTPS वर DNS सह डोमेन नेम सिस्टम क्वेरी एन्क्रिप्ट करा. तुमच्या राउटरशी भांडण न करता तुमची गोपनीयता वाढवण्याचा हा सर्वात सोपा मार्ग आहे. DoH सह, डोमेनना IP पत्त्यांमध्ये रूपांतरित करणारा अनुवादक स्पष्टपणे प्रवास करणे थांबवतो आणि HTTPS बोगद्यातून जातो.

या मार्गदर्शकामध्ये तुम्हाला थेट भाषेत आणि जास्त शब्दजाल न वापरता, DoH म्हणजे नेमके काय, ते DoT सारख्या इतर पर्यायांपेक्षा कसे वेगळे आहे, ब्राउझर आणि ऑपरेटिंग सिस्टीममध्ये ते कसे सक्षम करायचे (विंडोज सर्व्हर २०२२ सह), ते प्रत्यक्षात काम करत आहे हे कसे पडताळायचे, समर्थित सर्व्हर, आणि जर तुम्हाला धाडस वाटत असेल, तर तुमचा स्वतःचा DoH रिझोल्व्हर कसा सेट करायचा. सर्वकाही, राउटरला स्पर्श न करता... ज्यांना ते MikroTik वर कॉन्फिगर करायचे आहे त्यांच्यासाठी पर्यायी विभाग वगळता.

HTTPS (DoH) वर DNS म्हणजे काय आणि तुम्हाला त्याची काळजी का असू शकते?

जेव्हा तुम्ही डोमेन टाइप करता (उदाहरणार्थ, Xataka.com), तेव्हा संगणक DNS रिझोल्व्हरला त्याचा IP काय आहे हे विचारतो; ही प्रक्रिया सहसा साध्या मजकुरात असते. आणि तुमच्या नेटवर्कवरील, तुमच्या इंटरनेट प्रदात्यावरील किंवा इंटरमीडिएट डिव्हाइसवरील कोणीही ते हेरू शकते किंवा हाताळू शकते. हे क्लासिक DNS चे सार आहे: जलद, सर्वव्यापी... आणि तृतीय पक्षांसाठी पारदर्शक.

येथेच DoH येते: ते DNS प्रश्न आणि उत्तरे सुरक्षित वेबद्वारे वापरल्या जाणाऱ्या त्याच एन्क्रिप्टेड चॅनेलवर हलवते (HTTPS, पोर्ट ४४३).परिणामी ते आता "उघड्या जागेत" प्रवास करत नाहीत, ज्यामुळे हेरगिरी, क्वेरी हायजॅकिंग आणि काही विशिष्ट व्यक्तींकडून हल्ले होण्याची शक्यता कमी होते. शिवाय, अनेक चाचण्यांमध्ये विलंब लक्षणीयरीत्या खराब होत नाही. आणि वाहतूक ऑप्टिमायझेशनमुळे ते सुधारले जाऊ शकते.

Una ventaja clave es que DoH हे अॅप्लिकेशन किंवा सिस्टम स्तरावर सक्षम केले जाऊ शकते., म्हणजे तुम्हाला काहीही सक्षम करण्यासाठी तुमच्या कॅरियर किंवा राउटरवर अवलंबून राहण्याची गरज नाही. म्हणजेच, तुम्ही कोणत्याही नेटवर्क उपकरणांना स्पर्श न करता "ब्राउझर बाहेरून" स्वतःचे संरक्षण करू शकता.

DoH आणि DoT (TLS वर DNS) मध्ये फरक करणे महत्वाचे आहे: DoT पोर्ट ८५३ वर DNS एन्क्रिप्ट करते थेट TLS वर, तर DoH ते HTTP(S) मध्ये एकत्रित करते. DoT सिद्धांतानुसार सोपे आहे, परंतु ते फायरवॉलद्वारे ब्लॉक होण्याची शक्यता जास्त असते. जे असामान्य पोर्ट कट करतात; DoH, 443 वापरून, या निर्बंधांना अधिक चांगल्या प्रकारे टाळतो आणि अनएनक्रिप्टेड DNS वर सक्तीने "पुशबॅक" हल्ले रोखतो.

गोपनीयतेबद्दल: HTTPS वापरणे म्हणजे DoH मध्ये कुकीज किंवा ट्रॅकिंग सूचित करत नाही; मानके स्पष्टपणे त्याचा वापर करण्यास नकार देतात. या संदर्भात, TLS 1.3 सहसंबंध कमी करून सत्रे पुन्हा सुरू करण्याची आवश्यकता देखील कमी करते. आणि जर तुम्हाला कामगिरीबद्दल काळजी वाटत असेल, तर QUIC वरील HTTP/3 ब्लॉक न करता क्वेरी मल्टीप्लेक्स करून अतिरिक्त सुधारणा प्रदान करू शकते.

DNS कसे काम करते, सामान्य धोके आणि DoH कुठे बसते

ऑपरेटिंग सिस्टम सामान्यतः DHCP द्वारे कोणता रिझोल्व्हर वापरायचा हे शिकते; घरी तुम्ही सहसा ISP चा वापर करता, ऑफिसमध्ये, कॉर्पोरेट नेटवर्कमध्ये. जेव्हा हे संप्रेषण एन्क्रिप्ट केलेले नसते (UDP/TCP 53), तेव्हा तुमच्या वाय-फाय किंवा रूटवरील कोणीही क्वेरी केलेले डोमेन पाहू शकते, बनावट प्रतिसाद देऊ शकते किंवा डोमेन अस्तित्वात नसताना तुम्हाला शोधांकडे पुनर्निर्देशित करू शकते, जसे काही ऑपरेटर करतात.

एका सामान्य ट्रॅफिक विश्लेषणात पोर्ट, स्रोत/गंतव्यस्थान आयपी आणि स्वतःच सोडवलेले डोमेन दिसून येते; हे केवळ ब्राउझिंग सवयी उघड करत नाही, यामुळे पुढील कनेक्शनशी, उदाहरणार्थ, ट्विटर पत्त्यांशी किंवा तत्सम संबंध जोडणे आणि तुम्ही नेमके कोणते पृष्ठ भेट दिली आहे हे काढणे सोपे होते.

DoT सह, DNS संदेश पोर्ट 853 वर TLS मध्ये जातो; DoH सह, DNS क्वेरी एका मानक HTTPS विनंतीमध्ये समाविष्ट केली आहे., जे ब्राउझर API द्वारे वेब अनुप्रयोगांद्वारे त्याचा वापर सक्षम करते. दोन्ही यंत्रणा समान पाया सामायिक करतात: प्रमाणपत्रासह सर्व्हर प्रमाणीकरण आणि एंड-टू-एंड एन्क्रिप्टेड चॅनेल.

नवीन बंदरांची समस्या अशी आहे की ती सामान्य आहे काही नेटवर्क 853 ब्लॉक करतात., सॉफ्टवेअरला अनएनक्रिप्टेड DNS वर "परत जाण्यास" प्रोत्साहित करते. DoH 443 वापरून हे कमी करते, जे वेबसाठी सामान्य आहे. DNS/QUIC देखील आणखी एक आशादायक पर्याय म्हणून अस्तित्वात आहे, जरी त्यासाठी ओपन UDP आवश्यक आहे आणि ते नेहमीच उपलब्ध नसते.

ट्रान्सपोर्ट एन्क्रिप्ट करतानाही, एका गोष्टीची काळजी घ्या: जर रिझोल्व्हर खोटे बोलला तर सायफर ते दुरुस्त करत नाही.या उद्देशासाठी, DNSSEC अस्तित्वात आहे, जे प्रतिसाद अखंडतेचे प्रमाणीकरण करण्यास अनुमती देते, जरी त्याचा अवलंब व्यापक नाही आणि काही मध्यस्थ त्याची कार्यक्षमता खंडित करतात. तरीही, DoH तुमच्या प्रश्नांमध्ये हेरगिरी किंवा छेडछाड करण्यापासून तृतीय पक्षांना प्रतिबंधित करते.

राउटरला स्पर्श न करता ते सक्रिय करा: ब्राउझर आणि सिस्टम

सुरुवात करण्याचा सर्वात सोपा मार्ग म्हणजे तुमच्या ब्राउझर किंवा ऑपरेटिंग सिस्टममध्ये DoH सक्षम करणे. अशा प्रकारे तुम्ही तुमच्या टीमकडून येणाऱ्या प्रश्नांचे संरक्षण करता राउटर फर्मवेअरवर अवलंबून न राहता.

गुगल क्रोम

सध्याच्या आवृत्त्यांमध्ये तुम्ही येथे जाऊ शकता chrome://settings/security आणि, “सुरक्षित DNS वापरा” अंतर्गत, पर्याय सक्रिय करा आणि प्रदाता निवडा. (जर तुमचा सध्याचा प्रदाता DoH ला सपोर्ट करत असेल किंवा Google च्या यादीतील एखादा जसे की Cloudflare किंवा Google DNS ला सपोर्ट करत असेल तर).

मागील आवृत्त्यांमध्ये, क्रोमने एक प्रायोगिक स्विच ऑफर केला होता: प्रकार chrome://flags/#dns-over-https, “सुरक्षित DNS लुकअप” शोधा आणि ते डीफॉल्ट वरून सक्षम वर बदला.. बदल लागू करण्यासाठी तुमचा ब्राउझर रीस्टार्ट करा.

Microsoft Edge (Chromium)

क्रोमियम-आधारित एजमध्येही असाच पर्याय समाविष्ट आहे. जर तुम्हाला त्याची आवश्यकता असेल तर येथे जा edge://flags/#dns-over-https, “सुरक्षित DNS लुकअप” शोधा आणि सक्षम मध्ये ते सक्षम कराआधुनिक आवृत्त्यांमध्ये, तुमच्या गोपनीयता सेटिंग्जमध्ये देखील सक्रियकरण उपलब्ध आहे.

मोझिला फायरफॉक्स

मेनू उघडा (वर उजवीकडे) > सेटिंग्ज > सामान्य > “नेटवर्क सेटिंग्ज” पर्यंत खाली स्क्रोल करा, वर टॅप करा कॉन्फिगरेशन आणि "" चिन्हांकित कराHTTPS वर DNS सक्षम करा"तुम्ही क्लाउडफ्लेअर किंवा नेक्स्टडीएनएस सारख्या प्रदात्यांमधून निवडू शकता.

जर तुम्हाला बारीक नियंत्रण हवे असेल तर, about:config समायोजित करा network.trr.mode: २ (संधीसाधू) DoH वापरतो आणि फॉलबॅक करतो उपलब्ध नसल्यास; ३ (कठोर) आदेश DoH आणि जर सपोर्ट नसेल तर तो अयशस्वी होतो. स्ट्रिक्ट मोडसह, बूटस्ट्रॅप रिझोल्व्हरला असे परिभाषित करा network.trr.bootstrapAddress=1.1.1.1.

ऑपेरा

आवृत्ती ६५ पासून, ऑपेरामध्ये एक पर्याय समाविष्ट आहे १.१.१.१ सह DoH सक्षम करा. ते डिफॉल्टनुसार बंद होते आणि संधीसाधू मोडमध्ये कार्य करते: जर 1.1.1.1:443 प्रतिसाद देत असेल, तर ते DoH वापरेल; अन्यथा, ते पुन्हा एन्क्रिप्टेड रिझोल्व्हरवर येते.

विंडोज १०/११: ऑटोडिटेक्ट (ऑटोडोएच) आणि रजिस्ट्री

विंडोज काही ज्ञात रिझोलव्हर्ससह DoH स्वयंचलितपणे सक्षम करू शकते. जुन्या आवृत्त्यांमध्ये, तुम्ही जबरदस्तीने वर्तन लादू शकता. रजिस्ट्री मधून: चालवा regedit आणि जा HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

नावाचा DWORD (३२-बिट) तयार करा EnableAutoDoh मूल्यासह 2 y संगणक रीस्टार्ट कराजर तुम्ही DoH ला सपोर्ट करणारे DNS सर्व्हर वापरत असाल तर हे काम करते.

विंडोज सर्व्हर २०२२: मूळ DoH सह DNS क्लायंट

विंडोज सर्व्हर २०२२ मधील बिल्ट-इन डीएनएस क्लायंट डीओएचला सपोर्ट करतो. तुम्ही फक्त त्यांच्या "ज्ञात DoH" यादीत असलेल्या सर्व्हरवरच DoH वापरू शकाल. किंवा तुम्ही स्वतः जोडता. ग्राफिकल इंटरफेसवरून ते कॉन्फिगर करण्यासाठी:

1. विंडोज सेटिंग्ज उघडा > नेटवर्क आणि इंटरनेट.
2. प्रविष्ट करा Ethernet आणि तुमचा इंटरफेस निवडा.
3. नेटवर्क स्क्रीनवर, खाली स्क्रोल करा Configuración de DNS आणि दाबा संपादित करा.
4. पसंतीचे आणि पर्यायी सर्व्हर परिभाषित करण्यासाठी "मॅन्युअल" निवडा.
5. जर ते पत्ते ज्ञात DoH यादीत असतील तर ते सक्षम केले जाईल. "प्राधान्यकृत DNS एन्क्रिप्शन" तीन पर्यायांसह:
   • फक्त एन्क्रिप्शन (HTTPS वरून DNS): सक्ती DoH; जर सर्व्हर DoH ला सपोर्ट करत नसेल, तर कोणतेही निराकरण होणार नाही.
   • एन्क्रिप्शनला प्राधान्य द्या, अनएन्क्रिप्टेडला अनुमती द्या: DoH चा प्रयत्न करतो आणि जर तो अयशस्वी झाला तर, पुन्हा एन्क्रिप्टेड क्लासिक DNS वर येतो.
   • फक्त एन्क्रिप्ट न केलेले: पारंपारिक साधा DNS वापरते.
6. बदल लागू करण्यासाठी सेव्ह करा.

तुम्ही PowerShell वापरून ज्ञात DoH रिझोल्व्हर्सची यादी देखील शोधू शकता आणि वाढवू शकता. सध्याची यादी पाहण्यासाठी:

Get-DNSClientDohServerAddress

तुमच्या टेम्पलेटसह नवीन ज्ञात DoH सर्व्हर नोंदणी करण्यासाठी, हे वापरा:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

लक्षात ठेवा की cmdlet Set-DNSClientServerAddress स्वतःवर नियंत्रण ठेवत नाही. DoH चा वापर; एन्क्रिप्शन हे ज्ञात DoH सर्व्हरच्या टेबलमध्ये ते पत्ते आहेत की नाही यावर अवलंबून असते. तुम्ही सध्या Windows Admin Center वरून किंवा सह Windows Server 2022 DNS क्लायंटसाठी DoH कॉन्फिगर करू शकत नाही. sconfig.cmd.

विंडोज सर्व्हर २०२२ मध्ये ग्रुप पॉलिसी

एक निर्देश आहे ज्याला म्हणतात "HTTPS (DoH) वर DNS कॉन्फिगर करा" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. सक्षम केल्यावर, तुम्ही निवडू शकता:

• DoH ला परवानगी द्या: जर सर्व्हर DoH ला सपोर्ट करत असेल तर ते वापरा; अन्यथा, क्वेरी एन्क्रिप्ट न करता.
• बॅन डीओएच: कधीही DoH वापरत नाही.
• DoH आवश्यक आहे: DoH ला सक्ती करते; जर समर्थन नसेल तर रिझोल्यूशन अयशस्वी होते.

महत्वाचे: डोमेन-जोडलेल्या संगणकांवर "Require DoH" सक्षम करू नका.अ‍ॅक्टिव्ह डायरेक्टरी DNS वर अवलंबून असते आणि Windows सर्व्हर DNS सर्व्हर भूमिका DoH क्वेरींना समर्थन देत नाही. जर तुम्हाला AD वातावरणात DNS ट्रॅफिक सुरक्षित करायचा असेल, तर वापरण्याचा विचार करा IPsec नियम क्लायंट आणि अंतर्गत निराकरणकर्त्यांमधील.

जर तुम्हाला विशिष्ट डोमेन विशिष्ट रिझोलॉवरकडे पुनर्निर्देशित करण्यात रस असेल, तर तुम्ही हे वापरू शकता एनआरपीटी (नाव निराकरण धोरण सारणी). जर डेस्टिनेशन सर्व्हर ज्ञात DoH यादीत असेल, त्या सल्लामसलत डीओएच मधून प्रवास करेल.

अँड्रॉइड, आयओएस आणि लिनक्स

Android 9 आणि त्यावरील आवृत्तीवर, पर्याय खाजगी DNS DoT ला (DoH नाही) दोन मोडसह अनुमती देते: “ऑटोमॅटिक” (संधीवादी, नेटवर्क रिझोल्व्हर घेते) आणि “स्ट्रिक्ट” (तुम्हाला प्रमाणपत्राद्वारे प्रमाणित केलेले होस्टनेम निर्दिष्ट करणे आवश्यक आहे; थेट IP समर्थित नाहीत).

iOS आणि Android वर, अॅप 1.1.1.1 क्लाउडफ्लेअर VPN API वापरून एनक्रिप्टेड नसलेल्या विनंत्या रोखण्यासाठी कठोर मोडमध्ये DoH किंवा DoT सक्षम करते आणि त्यांना सुरक्षित चॅनेलद्वारे फॉरवर्ड करा.

En Linux, systemd-resolved systemd 239 पासून DoT ला सपोर्ट करते. ते डिफॉल्टनुसार अक्षम केले आहे; ते प्रमाणपत्रे प्रमाणित न करता संधीसाधू मोड आणि CA प्रमाणीकरणासह परंतु SNI किंवा नाव पडताळणीशिवाय कठोर मोड (243 पासून) देते, जे विश्वास मॉडेल कमकुवत करते रस्त्यावरील हल्लेखोरांविरुद्ध.

Linux, macOS किंवा Windows वर, तुम्ही स्ट्रिक्ट मोड DoH क्लायंट निवडू शकता जसे की cloudflared proxy-dns (डिफॉल्टनुसार ते १.१.१.१ वापरते, जरी तुम्ही अपस्ट्रीम परिभाषित करू शकता पर्याय).

ज्ञात DoH सर्व्हर (विंडोज) आणि आणखी कसे जोडायचे

विंडोज सर्व्हरमध्ये DoH ला सपोर्ट करणाऱ्या रिझोलव्हर्सची यादी समाविष्ट आहे. तुम्ही ते PowerShell वापरून तपासू शकता. आणि गरज पडल्यास नवीन नोंदी जोडा.

हे आहेत ज्ञात DoH सर्व्हर्स अगदी सहजपणे उपलब्ध आहेत:

सर्व्हर मालक	DNS सर्व्हरचे IP पत्ते
क्लाउडफ्लेअर	1.1.1.1 1.0.0.1 २६०६:४७००:४७००::१००१ २६०६:४७००:४७००::१००१
गुगल	8.8.8.8 8.8.4.4 २६०६:४७००:४७००::१००१ २६०६:४७००:४७००::१००१
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

च्या साठी ver la lista, चालवा:

Get-DNSClientDohServerAddress

च्या साठी त्याच्या टेम्पलेटसह एक नवीन DoH रिझोल्व्हर जोडा., usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

जर तुम्ही अनेक नेमस्पेसेस व्यवस्थापित केले तर NRPT तुम्हाला परवानगी देईल विशिष्ट डोमेन व्यवस्थापित करा DoH ला सपोर्ट करणाऱ्या विशिष्ट रिझोल्व्हरला.

DoH सक्रिय आहे की नाही हे कसे तपासायचे

ब्राउझरमध्ये, भेट द्या https://1.1.1.1/help; तिथे तुम्हाला दिसेल की तुमचा ट्रॅफिक DoH वापरत आहे. १.१.१.१ सह किंवा नाही. तुम्ही कोणत्या स्थितीत आहात हे पाहण्यासाठी ही एक जलद चाचणी आहे.

विंडोज १० (आवृत्ती २००४) मध्ये, तुम्ही क्लासिक डीएनएस ट्रॅफिक (पोर्ट ५३) साठी खालील गोष्टी वापरून निरीक्षण करू शकता: पीकेटीमॉन विशेषाधिकारप्राप्त कन्सोलवरून:

pktmon filter add -p 53
pktmon start --etw -m real-time

जर ५३ वर पॅकेट्सचा सतत प्रवाह दिसून आला, तर ते खूप शक्य आहे की तुम्ही अजूनही एन्क्रिप्टेड DNS वापरत आहात.लक्षात ठेवा: पॅरामीटर --etw -m real-time २००४ आवश्यक आहे; पूर्वीच्या आवृत्त्यांमध्ये तुम्हाला "अज्ञात पॅरामीटर" त्रुटी दिसेल.

पर्यायी: ते राउटरवर कॉन्फिगर करा (MikroTik)

जर तुम्हाला राउटरवर एन्क्रिप्शन सेंट्रलाइज करायचे असेल, तर तुम्ही MikroTik डिव्हाइसेसवर DoH सहजपणे सक्षम करू शकता. प्रथम, रूट CA आयात करा. ज्या सर्व्हरशी तुम्ही कनेक्ट कराल त्या सर्व्हरद्वारे स्वाक्षरीकृत असेल. क्लाउडफ्लेअरसाठी तुम्ही डाउनलोड करू शकता डिजीसर्टग्लोबलरूटसीए.सीआरटी.पीईएम.

फाइल राउटरवर अपलोड करा (“Files” वर ड्रॅग करून), आणि येथे जा सिस्टम > प्रमाणपत्रे > आयात ते समाविष्ट करण्यासाठी. नंतर, राउटरचे DNS सह कॉन्फिगर करा क्लाउडफ्लेअर DoH URLएकदा सक्रिय झाल्यानंतर, राउटर डीफॉल्ट अनएन्क्रिप्टेड DNS पेक्षा एन्क्रिप्टेड कनेक्शनला प्राधान्य देईल.

सर्वकाही व्यवस्थित आहे हे सत्यापित करण्यासाठी, भेट द्या १.१.१.१/मदत राउटरच्या मागे असलेल्या संगणकावरून. तुम्ही टर्मिनलद्वारे देखील सर्वकाही करू शकता. तुम्हाला आवडत असल्यास RouterOS मध्ये.

कामगिरी, अतिरिक्त गोपनीयता आणि दृष्टिकोनाच्या मर्यादा

जेव्हा वेगाचा विचार केला जातो तेव्हा दोन मापदंड महत्त्वाचे असतात: रिझोल्यूशन वेळ आणि प्रत्यक्ष पृष्ठ लोड. स्वतंत्र चाचण्या (जसे की सॅमकॉज) त्यांचा असा निष्कर्ष आहे की DoH आणि क्लासिक DNS (Do53) मधील फरक दोन्ही आघाड्यांवर किरकोळ आहे; प्रत्यक्षात, तुम्हाला कोणतीही मंदता लक्षात येऊ नये.

DoH “DNS क्वेरी” एन्क्रिप्ट करते, परंतु नेटवर्कवर अधिक सिग्नल असतात. तुम्ही DNS लपवले तरीही, ISP गोष्टींचा अंदाज लावू शकतो TLS कनेक्शनद्वारे (उदा., काही जुन्या परिस्थितींमध्ये SNI) किंवा इतर ट्रेस. गोपनीयता वाढविण्यासाठी, तुम्ही DoT, DNSCrypt, DNSCurve किंवा मेटाडेटा कमी करणारे क्लायंट एक्सप्लोर करू शकता.

सर्व इकोसिस्टम अद्याप DoH ला समर्थन देत नाहीत. अनेक लीगेसी रिझोलव्हर्स हे देत नाहीत., सार्वजनिक स्रोतांवर अवलंबून राहण्याची सक्ती (क्लाउडफ्लेअर, गुगल, क्वाड९, इ.). यामुळे केंद्रीकरणावरील वादविवाद सुरू होतो: काही घटकांवर प्रश्न केंद्रित केल्याने गोपनीयता आणि विश्वासाचे नुकसान होते.

कॉर्पोरेट वातावरणात, DoH खालील सुरक्षा धोरणांवर आधारित असलेल्या सुरक्षा धोरणांशी संघर्ष करू शकते: DNS देखरेख किंवा फिल्टरिंग (मालवेअर, पालक नियंत्रणे, कायदेशीर अनुपालन). उपायांमध्ये DoH/DoT रिझोल्व्हरला स्ट्रिक्ट मोडवर सेट करण्यासाठी MDM/ग्रुप पॉलिसी किंवा अॅप्लिकेशन-लेव्हल कंट्रोल्ससह एकत्रित करणे समाविष्ट आहे, जे डोमेन-आधारित ब्लॉकिंगपेक्षा अधिक अचूक आहेत.

DNSSEC हे DoH ला पूरक आहे: डीओएच वाहतुकीचे संरक्षण करते; डीएनएसएसईसी प्रतिसाद प्रमाणित करतेदत्तक घेणे असमान आहे आणि काही मध्यवर्ती उपकरणे ते मोडतात, परंतु हा ट्रेंड सकारात्मक आहे. रिझोल्वर्स आणि अधिकृत सर्व्हरमधील मार्गावर, DNS पारंपारिकपणे एन्क्रिप्टेड राहते; मोठ्या ऑपरेटरमध्ये (उदा., फेसबुकच्या अधिकृत सर्व्हरसह 1.1.1.1) संरक्षण वाढविण्यासाठी DoT वापरण्याचे प्रयोग आधीच सुरू आहेत.

एक मध्यवर्ती पर्याय म्हणजे फक्त दरम्यान एन्क्रिप्ट करणे राउटर आणि रिझोल्व्हर, डिव्हाइसेस आणि राउटरमधील कनेक्शन एन्क्रिप्ट न करता सोडणे. सुरक्षित वायर्ड नेटवर्कवर उपयुक्त, परंतु खुल्या वाय-फाय नेटवर्कवर शिफारसित नाही: इतर वापरकर्ते LAN मध्ये या क्वेरीजवर हेरगिरी करू शकतात किंवा हाताळू शकतात.

तुमचा स्वतःचा DoH रिझोल्व्हर बनवा

जर तुम्हाला पूर्ण स्वातंत्र्य हवे असेल तर तुम्ही तुमचा स्वतःचा रिझोल्व्हर तैनात करू शकता. अनबाउंड + रेडिस (L2 कॅशे) + Nginx DoH URL सर्व्ह करण्यासाठी आणि आपोआप अपडेट करण्यायोग्य सूचीसह डोमेन फिल्टर करण्यासाठी हे एक लोकप्रिय संयोजन आहे.

हे स्टॅक एका सामान्य VPS वर उत्तम प्रकारे चालते (उदाहरणार्थ, एक कोर/२ वायर कुटुंबासाठी). वापरण्यास तयार सूचना असलेले मार्गदर्शक आहेत, जसे की हे भांडार: github.com/ousatov-ua/dns-filtering. काही VPS प्रदाते स्वागत क्रेडिट्स देतात नवीन वापरकर्त्यांसाठी, जेणेकरून तुम्ही कमी खर्चात चाचणी सेट करू शकता.

तुमच्या खाजगी रिझोल्व्हरसह, तुम्ही तुमचे फिल्टरिंग स्रोत निवडू शकता, धारणा धोरणे ठरवू शकता आणि तुमच्या प्रश्नांचे केंद्रीकरण टाळा. तृतीय पक्षांना. त्या बदल्यात, तुम्ही सुरक्षा, देखभाल आणि उच्च उपलब्धता व्यवस्थापित करता.

बंद करण्यापूर्वी, वैधतेची नोंद: इंटरनेटवर, पर्याय, मेनू आणि नावे वारंवार बदलतात; काही जुने मार्गदर्शक जुने झाले आहेत. (उदाहरणार्थ, अलीकडील आवृत्त्यांमध्ये Chrome मध्ये "ध्वजांकने" वापरणे आता आवश्यक नाही.) तुमच्या ब्राउझर किंवा सिस्टम दस्तऐवजीकरणासह नेहमी तपासा.

जर तुम्ही इथपर्यंत पोहोचला असाल, तर तुम्हाला आधीच माहित असेल की DoH काय करते, ते DoT आणि DNSSEC च्या कोड्यात कसे बसते आणि सर्वात महत्त्वाचे म्हणजे, तुमच्या डिव्हाइसवर ते आत्ता कसे सक्रिय करायचे DNS ला स्पष्टपणे प्रवास करण्यापासून रोखण्यासाठी. तुमच्या ब्राउझरमध्ये काही क्लिक्स किंवा विंडोजमधील समायोजनांसह (सर्व्हर २०२२ मधील पॉलिसी स्तरावर देखील) तुमच्याकडे एन्क्रिप्टेड क्वेरी असतील; जर तुम्हाला गोष्टी पुढील स्तरावर घेऊन जायच्या असतील, तर तुम्ही एन्क्रिप्शन मायक्रोटिक राउटरवर हलवू शकता किंवा तुमचा स्वतःचा रिझोल्व्हर तयार करू शकता. मुख्य म्हणजे, तुमच्या राउटरला स्पर्श न करता, तुम्ही आज तुमच्या ट्रॅफिकच्या सर्वात जास्त चर्चा झालेल्या भागांपैकी एकाचे रक्षण करू शकता..