- DoH szyfruje zapytania DNS za pomocą protokołu HTTPS (port 443), zwiększając prywatność i uniemożliwiając manipulację.
- Można ją aktywować w przeglądarkach i systemach (w tym Windows Server 2022) niezależnie od routera.
- Wydajność podobna do klasycznego DNS, uzupełniona o DNSSEC w celu weryfikacji odpowiedzi.
- Popularne serwery DoH (Cloudflare, Google, Quad9) i możliwość dodania lub skonfigurowania własnego resolvera.
¿Jak zaszyfrować DNS bez dotykania routera, korzystając z protokołu DNS przez HTTPS? Jeśli martwisz się, kto może zobaczyć, z jakimi stronami się łączysz, Szyfruj zapytania do systemu nazw domen za pomocą DNS przez HTTPS To jeden z najprostszych sposobów na zwiększenie prywatności bez konieczności walki z routerem. Dzięki DoH, translator konwertujący domeny na adresy IP przestaje podróżować w trybie jawnym i przechodzi przez tunel HTTPS.
W tym przewodniku znajdziesz, w bezpośrednim języku i bez nadmiernego żargonu, Czym dokładnie jest DoH i czym różni się od innych opcji, takich jak DoTJak włączyć go w przeglądarkach i systemach operacyjnych (w tym Windows Server 2022), jak sprawdzić, czy działa, jakie serwery są obsługiwane, a jeśli masz odwagę, nawet jak skonfigurować własny program do rozwiązywania problemów DoH. Wszystko, bez dotykania routera…poza opcjonalną sekcją dla tych, którzy chcą skonfigurować go na MikroTiku.
Czym jest DNS przez HTTPS (DoH) i dlaczego może Cię to zainteresować
Po wpisaniu domeny (na przykład Xataka.com) komputer pyta program do rozpoznawania nazw domen (DNS) o jej adres IP; Ten proces zwykle odbywa się w postaci zwykłego tekstu Każdy w Twojej sieci, Twój dostawca internetu lub urządzenia pośredniczące mogą go podsłuchiwać i manipulować. To jest esencja klasycznego DNS: szybki, wszechobecny… i transparentny dla osób trzecich.
Tutaj wkracza DoH: Przenosi te pytania i odpowiedzi DNS na ten sam szyfrowany kanał, z którego korzysta bezpieczna sieć (HTTPS, port 443)W rezultacie nie podróżują już „otwarte”, co zmniejsza ryzyko szpiegostwa, przechwytywania zapytań i niektórych ataków typu man-in-the-middle. Co więcej, w wielu testach opóźnienie nie pogarsza się zauważalnie i może zostać jeszcze ulepszony dzięki optymalizacji transportu.
Kluczową zaletą jest to, że DoH można włączyć na poziomie aplikacji lub systemu, więc nie musisz polegać na operatorze ani routerze, aby cokolwiek włączyć. Oznacza to, że możesz chronić się „od przeglądarki”, bez dotykania żadnego sprzętu sieciowego.
Ważne jest rozróżnienie DoH od DoT (DNS przez TLS): DoT szyfruje DNS na porcie 853 bezpośrednio przez TLS, podczas gdy DoH integruje go z HTTP(S). DoT jest prostszy w teorii, ale Istnieje większe prawdopodobieństwo, że zostanie zablokowany przez zapory sieciowe które odcinają nietypowe porty; DoH, korzystając z 443, lepiej obchodzi te ograniczenia i zapobiega wymuszonym atakom „pushback” na niezaszyfrowany serwer DNS.
Prywatność: Korzystanie z protokołu HTTPS nie oznacza stosowania plików cookie ani śledzenia w DoH; normy wyraźnie odradzają jego stosowanie W tym kontekście TLS 1.3 zmniejsza również potrzebę ponownego uruchamiania sesji, minimalizując korelacje. A jeśli martwisz się o wydajność, protokół HTTP/3 przez QUIC może zapewnić dodatkowe ulepszenia poprzez multipleksowanie zapytań bez blokowania.
Jak działa DNS, typowe zagrożenia i jaka jest rola DoH
System operacyjny zwykle uczy się, którego resolvera używać, za pomocą protokołu DHCP; W domu zazwyczaj korzystasz z usług dostawcy InternetuW biurze, w sieci korporacyjnej. Gdy ta komunikacja jest niezaszyfrowana (UDP/TCP 53), każdy w Twojej sieci Wi-Fi lub na trasie może zobaczyć domeny, do których uzyskano dostęp, podszywając się pod nie, lub przekierowując Cię do wyszukiwań, gdy domena nie istnieje, tak jak robią to niektórzy operatorzy.
Typowa analiza ruchu ujawnia rozwiązane porty, adresy IP źródłowe/docelowe i samą domenę; To nie tylko ujawnia nawyki przeglądania, ułatwia także powiązanie późniejszych połączeń, na przykład z adresami Twittera lub podobnymi, i wywnioskowanie, które dokładnie strony odwiedziłeś.
W przypadku DoT wiadomość DNS jest przesyłana w protokole TLS na porcie 853, w przypadku DoH zapytanie DNS jest zawarte w standardowym żądaniu HTTPS, co umożliwia również korzystanie z niego przez aplikacje internetowe za pośrednictwem interfejsów API przeglądarek. Oba mechanizmy opierają się na tej samej podstawie: uwierzytelnianiu serwera za pomocą certyfikatu i szyfrowanym kanale end-to-end.
Problem z nowymi portami jest taki, że często niektóre sieci blokują 853, zachęcając oprogramowanie do „powrotu” do nieszyfrowanego DNS. DoH łagodzi to, używając protokołu 443, który jest powszechny w sieci. DNS/QUIC również istnieje jako obiecująca opcja, choć wymaga otwartego protokołu UDP i nie zawsze jest dostępny.
Nawet szyfrując transport, należy zwrócić uwagę na jedną kwestię: Jeśli resolver kłamie, szyfr go nie poprawi.W tym celu istnieje protokół DNSSEC, który umożliwia weryfikację integralności odpowiedzi, choć jego wdrożenie nie jest powszechne, a niektórzy pośrednicy zakłócają jego działanie. Mimo to DoH zapobiega podsłuchiwaniu lub manipulowaniu zapytaniami przez osoby trzecie.
Aktywuj bez dotykania routera: przeglądarki i systemy
Najprostszym sposobem rozpoczęcia korzystania z funkcji DoH jest włączenie jej w przeglądarce lub systemie operacyjnym. W ten sposób chronisz zapytania przed swoim zespołem bez konieczności korzystania z oprogramowania sprzętowego routera.
Google Chrome
W obecnych wersjach możesz przejść do chrome://settings/security i w sekcji „Użyj bezpiecznego DNS” aktywuj opcję i wybierz dostawcę (Twój obecny dostawca, jeśli obsługuje DoH, lub jeden z dostawców z listy Google, np. Cloudflare lub Google DNS).
W poprzednich wersjach Chrome oferował eksperymentalny przełącznik: typ chrome://flags/#dns-over-https, wyszukaj „Bezpieczne wyszukiwania DNS” i zmień z Domyślnego na WłączoneAby zastosować zmiany, uruchom ponownie przeglądarkę.
Microsoft Edge (chrom)
Edge oparty na Chromium oferuje podobną opcję. Jeśli jej potrzebujesz, przejdź do edge://flags/#dns-over-https, zlokalizuj „Bezpieczne wyszukiwania DNS” i włącz to w opcji WłączoneW nowszych wersjach aktywacja jest dostępna także w ustawieniach prywatności.
Mozilla Firefox
Otwórz menu (prawy górny róg) > Ustawienia > Ogólne > przewiń w dół do „Ustawień sieciowych”, dotknij konfiguracja i zaznacz „Activar DNS trzeźwy HTTPSMożesz wybierać spośród dostawców takich jak Cloudflare lub NextDNS.
Jeśli wolisz precyzyjną kontrolę, w about:config dostosowuje się network.trr.mode: 2 (oportunista) używa DoH i tworzy plan awaryjny jeśli nie jest dostępny; 3 (ścisłe) nakazy DoH i kończy się niepowodzeniem, jeśli nie ma wsparcia. W trybie ścisłym zdefiniuj resolver bootstrapowy jako network.trr.bootstrapAddress=1.1.1.1.
Opera
Od wersji 65 Opera zawiera opcję włącz DoH za pomocą 1.1.1.1Domyślnie jest on wyłączony i działa w trybie oportunistycznym: jeśli 1.1.1.1:443 odpowie, użyje DoH; w przeciwnym razie powróci do niezaszyfrowanego resolvera.
Windows 10/11: automatyczne wykrywanie (AutoDoH) i rejestr
System Windows może automatycznie włączyć DoH z niektórymi znanymi resolverami. W starszych wersjach możesz wymusić takie zachowanie z rejestru: uruchom regedit i idź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.
Utwórz DWORD (32-bitowy) o nazwie EnableAutoDoh z odwagą 2 y Zrestartuj komputerDziała to, jeśli używasz serwerów DNS obsługujących DoH.
Windows Server 2022: klient DNS z natywnym DoH
Wbudowany klient DNS w systemie Windows Server 2022 obsługuje protokół DoH. Funkcji DoH będziesz mógł używać wyłącznie z serwerami znajdującymi się na liście „Znanych DoH”. lub dodasz samodzielnie. Aby skonfigurować go z poziomu interfejsu graficznego:
- Otwórz Ustawienia systemu Windows > Sieć i Internet.
- Wejdź Ethernet i wybierz swój interfejs.
- Na ekranie sieci przewiń w dół do Konfiguracja DNS i naciśnij edit.
- Wybierz opcję „Ręcznie”, aby zdefiniować preferowane i alternatywne serwery.
- Jeśli te adresy znajdują się na znanej liście DoH, zostanie ona włączona „Preferowane szyfrowanie DNS” z trzema opcjami:
- Tylko szyfrowanie (DNS przez HTTPS): Wymuś DoH; jeśli serwer nie obsługuje DoH, rozwiązanie nie zostanie zrealizowane.
- Preferuj szyfrowanie, zezwalaj na niezaszyfrowane: Próbuje wykonać protokół DoH i jeśli się nie powiedzie, powraca do nieszyfrowanego klasycznego protokołu DNS.
- Tylko niezaszyfrowane:Używa tradycyjnego, zwykłego tekstu DNS.
- Zapisz, aby zastosować zmiany.
Można również wyszukiwać i rozszerzać listę znanych resolverów DoH przy użyciu programu PowerShell. Aby zobaczyć aktualną listę:
Get-DNSClientDohServerAddressAby zarejestrować nowy znany serwer DoH przy użyciu szablonu, użyj:
Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $TrueNależy pamiętać, że polecenie cmdlet Set-DNSClientServerAddress nie kontroluje siebie Użycie DoH; szyfrowanie zależy od tego, czy te adresy znajdują się w tabeli znanych serwerów DoH. Obecnie nie można skonfigurować DoH dla klienta DNS systemu Windows Server 2022 z Centrum administracyjnego systemu Windows ani za pomocą sconfig.cmd.
Zasady grupy w systemie Windows Server 2022
Istnieje dyrektywa zwana „Konfiguracja DNS przez HTTPS (DoH)” en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. Po włączeniu możesz wybrać:
- Zezwól na DoH: Użyj DoH, jeśli serwer to obsługuje; w przeciwnym razie wykonuj zapytanie bez szyfrowania.
- Zakaz DoH: nigdy nie używa DoH.
- Wymagaj DoH: wymusza DoH; w przypadku braku wsparcia rozwiązanie się nie powiedzie.
Ważne: Nie włączaj opcji „Wymagaj DoH” na komputerach przyłączonych do domenyUsługa Active Directory opiera się na systemie DNS, a rola serwera DNS w systemie Windows Server nie obsługuje zapytań DoH. Jeśli potrzebujesz zabezpieczyć ruch DNS w środowisku usługi Active Directory, rozważ użycie Reguły IPsec między klientami i wewnętrznymi resolverami.
Jeśli chcesz przekierować określone domeny do określonych resolverów, możesz skorzystać z NRPT (Tabela zasad rozpoznawania nazw). Jeśli serwer docelowy znajduje się na znanej liście DoH, te konsultacje będzie przejeżdżać przez DoH.
Android, iOS i Linux
W systemie Android 9 i nowszych opcja Prywatny DNS zezwala na DoT (nie DoH) w dwóch trybach: „Automatyczny” (oportunistyczny, korzysta z resolvera sieciowego) i „Ścisły” (należy określić nazwę hosta, która jest weryfikowana przez certyfikat; bezpośrednie adresy IP nie są obsługiwane).
Na iOS i Androidzie aplikacja 1.1.1.1 Cloudflare umożliwia DoH lub DoT w trybie ścisłym za pomocą interfejsu API VPN w celu przechwytywania niezaszyfrowanych żądań i przekazywać je za pomocą bezpiecznego kanału.
W systemie Linux systemd-rozwiązany obsługuje DoT od wersji systemd 239. Jest domyślnie wyłączony; oferuje tryb oportunistyczny bez weryfikacji certyfikatów i tryb ścisły (od wersji 243) z walidacją CA, ale bez weryfikacji SNI lub nazw, co osłabia model zaufania przed napastnikami na drodze.
W systemach Linux, macOS lub Windows możesz wybrać klienta DoH w trybie ścisłym, np. cloudflared proxy-dns (domyślnie używa 1.1.1.1, chociaż możesz zdefiniować upstreamy alternatywy).
Znane serwery DoH (Windows) i jak dodać więcej
W systemie Windows Server znajduje się lista programów do rozpoznawania nazw, które obsługują protokół DoH. Możesz to sprawdzić za pomocą programu PowerShell i dodawaj nowe wpisy, jeśli zajdzie taka potrzeba.
Są znane serwery DoH od razu po wyjęciu z pudełka:
| Właściciel serwera | Adresy IP serwera DNS |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606: 4700: 4700 :: 1111 2606: 4700: 4700 :: 1001 |
| 8.8.8.8 8.8.4.4 2001: 4860: 4860 :: 8888 2001: 4860: 4860 :: 8844 |
|
| Quad9 | 9.9.9.9 149.112.112.112 2620: fe fe :: 2620: fe :: fe: 9 |
do zobacz listę, biegać:
Get-DNSClientDohServerAddressdo dodaj nowy resolver DoH z jego szablonem, używa:
Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $TrueJeśli zarządzasz wieloma przestrzeniami nazw, NRPT umożliwi Ci zarządzać określonymi domenami do konkretnego resolvera obsługującego DoH.
Jak sprawdzić, czy DoH jest aktywny
W przeglądarkach odwiedź https://1.1.1.1/help; tam zobaczysz czy Twój ruch korzysta z DoH z wersją 1.1.1.1 czy nie. To szybki test, który pokaże Ci, jaki masz status.
W systemie Windows 10 (wersja 2004) można monitorować klasyczny ruch DNS (port 53) za pomocą pktmon z konsoli uprzywilejowanej:
pktmon filter add -p 53
pktmon start --etw -m real-timeJeżeli na 53 pojawi się stały strumień pakietów, jest bardzo prawdopodobne, że nadal używasz niezaszyfrowanego DNS. Pamiętaj: parametr --etw -m real-time wymaga wersji 2004; we wcześniejszych wersjach pojawi się błąd „nieznany parametr”.
Opcjonalnie: skonfiguruj na routerze (MikroTik)
Jeśli wolisz scentralizować szyfrowanie na routerze, możesz łatwo włączyć funkcję DoH na urządzeniach MikroTik. Najpierw zaimportuj główny urząd certyfikacji który zostanie podpisany przez serwer, z którym się połączysz. W przypadku Cloudflare możesz pobrać DigiCertGlobalRootCA.crt.pem.
Prześlij plik do routera (przeciągając go do „Plików”) i przejdź do System > Certyfikaty > Importuj aby go włączyć. Następnie skonfiguruj DNS routera za pomocą Adresy URL Cloudflare DoHPo aktywacji router będzie priorytetowo traktował szyfrowane połączenie nad domyślnym, nieszyfrowanym połączeniem DNS.
Aby sprawdzić, czy wszystko jest w porządku, odwiedź 1.1.1.1/pomoc z komputera znajdującego się za routerem. Wszystko możesz też zrobić przez terminal w RouterOS, jeśli wolisz.
Wydajność, dodatkowa prywatność i ograniczenia podejścia
Jeśli chodzi o szybkość, liczą się dwa wskaźniki: czas rozwiązania problemu i faktyczne ładowanie strony. Niezależne testy (takie jak SamKnows) Autorzy dochodzą do wniosku, że różnica między DoH a klasycznym DNS (Do53) jest nieznaczna w obu przypadkach; w praktyce nie powinno się zauważyć żadnego spowolnienia.
DoH szyfruje „zapytanie DNS”, ale w sieci jest więcej sygnałów. Nawet jeśli ukryjesz DNS, dostawca usług internetowych może wywnioskować pewne rzeczy poprzez połączenia TLS (np. SNI w niektórych starszych scenariuszach) lub inne ślady. Aby zwiększyć prywatność, możesz skorzystać z DoT, DNSCrypt, DNSCurve lub klientów minimalizujących metadane.
Nie wszystkie ekosystemy obsługują jeszcze DoH. Wiele starszych programów do rozpoznawania nazw nie oferuje takiej możliwości., wymuszając poleganie na publicznych źródłach (Cloudflare, Google, Quad9 itp.). To otwiera debatę na temat centralizacji: koncentrowanie zapytań na kilku podmiotach wiąże się z kosztami prywatności i zaufania.
W środowiskach korporacyjnych DoH może kolidować z politykami bezpieczeństwa opartymi na Monitorowanie lub filtrowanie DNS (złośliwe oprogramowanie, kontrola rodzicielska, zgodność z przepisami). Rozwiązania obejmują MDM/zasady grupy, które umożliwiają ustawienie mechanizmu rozpoznawania DoH/DoT w trybie ścisłym lub w połączeniu z kontrolą na poziomie aplikacji, która jest dokładniejsza niż blokowanie oparte na domenach.
DNSSEC uzupełnia DoH: DoH chroni transport; DNSSEC weryfikuje odpowiedźWdrożenie jest nierównomierne, a niektóre urządzenia pośredniczące go łamią, ale trend jest pozytywny. Na drodze między resolverami a serwerami autorytatywnymi, DNS tradycyjnie pozostaje niezaszyfrowany; trwają już eksperymenty z wykorzystaniem DoT wśród dużych operatorów (np. 1.1.1.1 z autorytatywnymi serwerami Facebooka) w celu zwiększenia ochrony.
Pośrednią alternatywą jest szyfrowanie tylko pomiędzy router i resolver, pozostawiając połączenie między urządzeniami a routerem niezaszyfrowane. Przydatne w bezpiecznych sieciach przewodowych, ale niezalecane w otwartych sieciach Wi-Fi: inni użytkownicy mogliby szpiegować lub manipulować tymi zapytaniami w sieci LAN.
Utwórz własny resolver DoH
Jeśli zależy Ci na całkowitej niezależności, możesz wdrożyć własny resolver. Nieograniczony + Redis (pamięć podręczna L2) + Nginx jest popularną kombinacją służącą do obsługi adresów URL DoH i filtrowania domen przy użyciu automatycznie aktualizowanych list.
Ten stos działa doskonale na skromnym VPS (na przykład, jeden rdzeń/2 przewody (dla rodziny). Istnieją przewodniki z gotowymi instrukcjami, takie jak to repozytorium: github.com/ousatov-ua/dns-filtering. Niektórzy dostawcy serwerów VPS oferują kredyty powitalne dla nowych użytkowników, dzięki czemu możesz wykupić okres próbny za niewielką opłatą.
Dzięki prywatnemu modułowi do rozwiązywania problemów możesz wybrać źródła filtrowania, ustalić zasady przechowywania i unikaj centralizacji zapytań osobom trzecim. W zamian zarządzasz bezpieczeństwem, konserwacją i wysoką dostępnością.
Na zakończenie mała uwaga: w Internecie opcje, menu i nazwy często się zmieniają; niektóre stare przewodniki są nieaktualne (Na przykład przeglądanie „flag” w przeglądarce Chrome nie jest już konieczne w nowszych wersjach). Zawsze sprawdzaj informacje w dokumentacji przeglądarki lub systemu.
Jeśli dotarłeś aż tutaj, wiesz już, co robi DoH, jak wpisuje się w układankę DoT i DNSSEC, a co najważniejsze, jak aktywować go teraz na swoim urządzeniu aby zapobiec przesyłaniu DNS w postaci niezaszyfrowanej. Wystarczy kilka kliknięć w przeglądarce lub kilka zmian w systemie Windows (nawet na poziomie zasad w systemie Server 2022), aby uzyskać szyfrowane zapytania. Jeśli chcesz przejść na wyższy poziom, możesz przenieść szyfrowanie na router MikroTik lub zbudować własny resolver. Kluczem jest to, że Nie dotykając routera, możesz zabezpieczyć jeden z najbardziej plotkowanych aspektów ruchu sieciowego..
Od najmłodszych lat pasjonat technologii. Uwielbiam być na bieżąco w branży i przede wszystkim ją komunikować. Dlatego od wielu lat zajmuję się komunikacją w serwisach poświęconych technologii i grom wideo. Możesz znaleźć mnie piszącego o Androidzie, Windowsie, MacOS, iOS, Nintendo lub jakimkolwiek innym pokrewnym temacie, który przyjdzie Ci do głowy.