Hur du krypterar din DNS utan att röra din router med DoH: En komplett guide

¿Hur krypterar man sin DNS utan att röra sin router med hjälp av DNS över HTTPS? Om du är orolig för vem som kan se vilka webbplatser du ansluter till, Kryptera DNS-frågor via HTTPS (Domain Name System) Det är ett av de enklaste sätten att öka din integritet utan att behöva bråka med din router. Med DoH slutar översättaren som konverterar domäner till IP-adresser att färdas obemärkt och går genom en HTTPS-tunnel.

I den här guiden hittar du, på ett direkt språk och utan för mycket jargong, Vad exakt är DoH, och hur skiljer det sig från andra alternativ som DoT, hur man aktiverar det i webbläsare och operativsystem (inklusive Windows Server 2022), hur man verifierar att det faktiskt fungerar, vilka servrar som stöds och, om du känner dig modig, till och med hur man konfigurerar din egen DoH-resolver. Allt, utan att röra routern...förutom ett valfritt avsnitt för de som vill konfigurera det på en MikroTik.

Vad är DNS över HTTPS (DoH) och varför du kanske bryr dig?

När du skriver in en domän (till exempel Xataka.com) frågar datorn en DNS-resolver vad dess IP-adress är; Denna process är vanligtvis i klartext Och vem som helst i ditt nätverk, din internetleverantör eller mellanliggande enheter kan snoka eller manipulera det. Detta är essensen av klassisk DNS: snabb, allestädes närvarande ... och transparent för tredje part.

Det är här DoH kommer in i bilden: Den flyttar dessa DNS-frågor och svar till samma krypterade kanal som används av den säkra webben (HTTPS, port 443)Resultatet är att de inte längre färdas "utanför öppet vatten", vilket minskar risken för spionage, kapning av sökresultat och vissa man-in-the-middle-attacker. Dessutom, i många tester latensen försämras inte märkbart och kan till och med förbättras tack vare transportoptimeringar.

En viktig fördel är att DoH kan aktiveras på applikations- eller systemnivå, så du behöver inte förlita dig på din operatör eller router för att aktivera någonting. Det vill säga, du kan skydda dig själv "från webbläsaren och ut", utan att röra någon nätverksutrustning.

Det är viktigt att skilja mellan DoH och DoT (DNS över TLS): DoT krypterar DNS på port 853 direkt över TLS, medan DoH integrerar det i HTTP(S). DoT är enklare i teorin, men Det är mer sannolikt att det blockeras av brandväggar som klipper ovanliga portar; DoH, genom att använda 443, kringgår dessa begränsningar bättre och förhindrar påtvingade "pushback"-attacker mot okrypterad DNS.

Angående integritet: Användning av HTTPS innebär inte cookies eller spårning i DoH; standarderna avråder uttryckligen från dess användning I detta sammanhang minskar TLS 1.3 också behovet av att starta om sessioner, vilket minimerar korrelationer. Och om du är orolig för prestanda kan HTTP/3 över QUIC ge ytterligare förbättringar genom att multiplexera frågor utan att blockera.

Hur DNS fungerar, vanliga risker och var DoH passar in

Operativsystemet lär sig normalt vilken resolver som ska användas via DHCP; Hemma använder du vanligtvis internetleverantören, på kontoret, företagsnätverket. När denna kommunikation är okrypterad (UDP/TCP 53) kan vem som helst på ditt Wi-Fi eller på rutten se efterfrågade domäner, injicera falska svar eller omdirigera dig till sökningar när domänen inte finns, som vissa operatörer gör.

En typisk trafikanalys avslöjar portar, käll-/destinations-IP-adresser och själva domänen som lösts upp; Detta avslöjar inte bara surfvanor, det gör det också enklare att korrelera efterföljande kopplingar, till exempel till Twitter-adresser eller liknande, och härleda exakt vilka sidor du har besökt.

Med DoT går DNS-meddelandet inuti TLS på port 853; med DoH, DNS-frågan är inkapslad i en standard HTTPS-förfrågan, vilket också möjliggör användning av webbapplikationer via webbläsar-API:er. Båda mekanismerna delar samma grund: serverautentisering med ett certifikat och en end-to-end-krypterad kanal.

Problemet med nya hamnar är att det är vanligt att vissa nätverk blockerar 853, vilket uppmuntrar programvara att "falla tillbaka" på okrypterad DNS. DoH mildrar detta genom att använda 443, vilket är vanligt för webben. DNS/QUIC finns också som ett annat lovande alternativ, även om det kräver öppen UDP och inte alltid är tillgängligt.

Även när du krypterar transport, var försiktig med en nyans: Om upplösaren ljuger, korrigerar inte chiffern den.För detta ändamål finns DNSSEC, vilket möjliggör validering av svarsintegritet, även om dess användning inte är utbredd och vissa mellanhänder bryter dess funktionalitet. Ändå förhindrar DoH tredje parter från att snoka eller manipulera dina frågor längs vägen.

Aktivera den utan att röra routern: webbläsare och system

Det enklaste sättet att komma igång är att aktivera DoH i din webbläsare eller ditt operativsystem. Så här skyddar du förfrågningar från ditt team utan att vara beroende av routerns firmware.

Google Chrome

I nuvarande versioner kan du gå till chrome://settings/security och under ”Använd säker DNS”, aktivera alternativet och välj leverantören (din nuvarande leverantör om de stöder DoH eller en från Googles lista som Cloudflare eller Google DNS).

I tidigare versioner erbjöd Chrome en experimentell växel: typ chrome://flags/#dns-over-https, sök efter "Säkra DNS-sökningar" och ändra den från Standard till AktiveradStarta om webbläsaren för att tillämpa ändringarna.

Microsoft Edge (Chromium)

Chromium-baserade Edge innehåller ett liknande alternativ. Om du behöver det, gå till edge://flags/#dns-over-https, leta upp "Säkra DNS-sökningar" och aktivera det i AktiveradI moderna versioner är aktivering även tillgänglig i dina integritetsinställningar.

Mozilla Firefox

Öppna menyn (uppe till höger) > Inställningar > Allmänt > skrolla ner till “Nätverksinställningar”, tryck på Konfiguration och markera "Aktivar DNS sobre HTTPSDu kan välja mellan leverantörer som Cloudflare eller NextDNS.

Om du föredrar finkontroll, i about:config justera network.trr.mode: 2 (opportunist) använder DoH och gör reservfunktion om inte tillgänglig; 3 (strikta) mandat från DoH och misslyckas om det inte finns något stöd. Med strict-läge, definiera en bootstrap-resolver som network.trr.bootstrapAddress=1.1.1.1.

Opera

Sedan version 65 har Opera ett alternativ för att aktivera DoH med 1.1.1.1Den är inaktiverad som standard och fungerar i opportunistiskt läge: om 1.1.1.1:443 svarar använder den DoH; annars använder den den okrypterade resolvern.

Windows 10/11: Autodetektering (AutoDoH) och register

Windows kan automatiskt aktivera DoH med vissa kända resolvers. I äldre versioner, du kan tvinga fram beteendet från registret: kör regedit och gå till HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Skapa ett DWORD-dokument (32-bitars) som heter EnableAutoDoh med värde 2 y Starta om datornDetta fungerar om du använder DNS-servrar som stöder DoH.

Windows Server 2022: DNS-klient med inbyggd DoH

Den inbyggda DNS-klienten i Windows Server 2022 stöder DoH. Du kommer bara att kunna använda DoH med servrar som finns på deras "Kända DoH"-lista. eller som du lägger till själv. Så här konfigurerar du det från det grafiska gränssnittet:

1. Öppna Windows-inställningar > Nätverk och internet.
2. Skriva in Ethernet och välj ditt gränssnitt.
3. På nätverksskärmen, skrolla ner till DNS-inställningar och tryck Redigera.
4. Välj ”Manuellt” för att definiera föredragna och alternativa servrar.
5. Om dessa adresser finns på den kända DoH-listan kommer den att aktiveras "Föredragen DNS-kryptering" med tre alternativ:
   • Endast kryptering (DNS över HTTPS)Tvinga fram DoH; om servern inte stöder DoH kommer det ingen lösning.
   • Föredra kryptering, tillåt okrypteradFörsöker DoH och om det misslyckas återgår det till okrypterad klassisk DNS.
   • Endast okrypteradAnvänder traditionell klartext-DNS.
6. Spara för att tillämpa ändringarna.

Du kan också fråga efter och utöka listan över kända DoH-upplösningar med hjälp av PowerShell. För att se den aktuella listan:

Get-DNSClientDohServerAddress

För att registrera en ny känd DoH-server med din mall, använd:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Observera att cmdlet:en Set-DNSClientServerAddress kontrollerar inte sig själv användningen av DoH; kryptering beror på om dessa adresser finns i tabellen över kända DoH-servrar. Du kan för närvarande inte konfigurera DoH för Windows Server 2022 DNS-klienten från Windows administrationscenter eller med sconfig.cmd.

Grupprincip i Windows Server 2022

Det finns ett direktiv som heter "Konfigurera DNS över HTTPS (DoH)" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSNär det är aktiverat kan du välja:

• Tillåt DoHAnvänd DoH om servern stöder det; annars, fråga okrypterat.
• Förbjud DoHanvänder aldrig DoH.
• Kräv DoH: tvingar fram DoH; om inget stöd saknas misslyckas lösningen.

Viktig: Aktivera inte "Kräv DoH" på domänanslutna datorerActive Directory är beroende av DNS, och Windows Server DNS Server-rollen stöder inte DoH-frågor. Om du behöver säkra DNS-trafik i en AD-miljö kan du överväga att använda IPsec-regler mellan klienter och interna lösare.

Om du är intresserad av att omdirigera specifika domäner till specifika resolvers kan du använda NRPT (tabell för namnlösningspolicy)Om destinationsservern finns på den kända DoH-listan, dessa samråd kommer att resa genom DoH.

Android, iOS och Linux

På Android 9 och senare alternativet Privat DNS tillåter DoT (inte DoH) med två lägen: "Automatisk" (opportunistisk, tar nätverksresolvern) och "Strict" (du måste ange ett värdnamn som valideras av certifikatet; direkta IP-adresser stöds inte).

På iOS och Android, appen 1.1.1.1 Cloudflare aktiverar DoH eller DoT i strikt läge med hjälp av VPN API för att fånga upp okrypterade förfrågningar och vidarebefordra dem via en säker kanal.

I Linux, systemd-löst stöder DoT sedan systemd 239. Det är inaktiverat som standard; det erbjuder opportunistiskt läge utan att validera certifikat och strikt läge (sedan 243) med CA-validering men utan SNI- eller namnverifiering, vilket försvagar förtroendemodellen mot angripare på vägen.

På Linux, macOS eller Windows kan du välja en DoH-klient i strikt läge, till exempel cloudflared proxy-dns (som standard använder den 1.1.1.1, även om du kan definiera uppströms alternativ).

Kända DoH-servrar (Windows) och hur man lägger till fler

Windows Server innehåller en lista över resolvrar som är kända för att stödja DoH. Du kan kontrollera det med PowerShell och lägg till nya poster om det behövs.

Dessa är de kända DoH-servrar direkt ur lådan:

Serverägare	DNS-serverns IP-adresser
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Kvadrat 9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

För Visa listan, springa:

Get-DNSClientDohServerAddress

För lägg till en ny DoH-resolver med dess mall, använder:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Om du hanterar flera namnrymder, kommer NRPT att låta dig hantera specifika domäner till en specifik resolver som stöder DoH.

Hur man kontrollerar om DoH är aktivt

I webbläsare, besök https://1.1.1.1/help; där ser du om din trafik använder DoH med 1.1.1.1 eller inte. Det är ett snabbt test för att se vilken status du har.

I Windows 10 (version 2004) kan du övervaka klassisk DNS-trafik (port 53) med pctmon från en privilegierad konsol:

pktmon filter add -p 53
pktmon start --etw -m real-time

Om en konstant ström av paket dyker upp på 53:an är det mycket troligt att du använder fortfarande okrypterad DNSKom ihåg: parametern --etw -m real-time kräver 2004; i tidigare versioner ser du felet "okänd parameter".

Valfritt: konfigurera det på routern (MikroTik)

Om du föredrar att centralisera krypteringen på routern kan du enkelt aktivera DoH på MikroTik-enheter. Importera först rot-CA:n vilket kommer att signeras av servern du ansluter till. För Cloudflare kan du ladda ner DigiCertGlobalRootCA.crt.pem.

Ladda upp filen till routern (genom att dra den till "Filer") och gå till System > Certifikat > Importera för att integrera den. Konfigurera sedan routerns DNS med Cloudflare DoH-URL:erNär den är aktiv kommer routern att prioritera den krypterade anslutningen framför den standard okrypterade DNS-adressen.

För att bekräfta att allt är i sin ordning, besök 1.1.1.1/hjälp från en dator bakom routern. Du kan också göra allt via terminalen i RouterOS om du föredrar det.

Prestanda, ytterligare integritet och begränsningar för tillvägagångssättet

När det gäller hastighet är det två mätvärden som spelar roll: lösningstid och faktisk sidladdning. Oberoende tester (som SamKnows) De drar slutsatsen att skillnaden mellan DoH och klassisk DNS (Do53) är marginell på båda fronterna; i praktiken bör man inte märka någon långsamhet.

DoH krypterar "DNS-frågan", men det finns fler signaler i nätverket. Även om du döljer DNS kan en internetleverantör dra slutsatser via TLS-anslutningar (t.ex. SNI i vissa äldre scenarier) eller andra spår. För att förbättra sekretessen kan du utforska DoT, DNSCrypt, DNSCurve eller klienter som minimerar metadata.

Inte alla ekosystem stöder DoH ännu. Många äldre resolvers erbjuder inte detta., vilket tvingar fram förlitandet på offentliga källor (Cloudflare, Google, Quad9, etc.). Detta öppnar upp debatten om centralisering: att koncentrera frågor till ett fåtal aktörer medför kostnader för integritet och förtroende.

I företagsmiljöer kan DoH kollidera med säkerhetspolicyer som baseras på DNS-övervakning eller filtrering (skadlig programvara, föräldrakontroller, efterlevnad av lagar). Lösningarna inkluderar MDM/Grupppolicy för att ställa in en DoH/DoT-resolver till strikt läge, eller i kombination med kontroller på applikationsnivå, vilka är mer exakta än domänbaserad blockering.

DNSSEC kompletterar DoH: DoH skyddar transporten; DNSSEC validerar svaretImplementeringen är ojämn, och vissa mellanliggande enheter bryter mot den, men trenden är positiv. Längs vägen mellan resolvers och auktoritativa servrar förblir DNS traditionellt okrypterat; det finns redan experiment med DoT bland stora operatörer (t.ex. 1.1.1.1 med Facebooks auktoritativa servrar) för att förbättra skyddet.

Ett mellanalternativ är att kryptera endast mellan routern och resolvern, vilket lämnar anslutningen mellan enheter och routern okrypterad. Användbart i säkra trådbundna nätverk, men rekommenderas inte i öppna Wi-Fi-nätverk: andra användare kan spionera på eller manipulera dessa frågor inom nätverket.

Skapa din egen DoH-resolver

Om du vill ha fullständig självständighet kan du använda din egen resolver. Obundet + Redis (L2-cache) + Nginx är en populär kombination för att visa DoH-URL:er och filtrera domäner med automatiskt uppdaterade listor.

Den här stacken fungerar perfekt på en blygsam VPS (till exempel, en kärna/2 trådar för en familj). Det finns guider med färdiga instruktioner, till exempel den här arkivet: github.com/ousatov-ua/dns-filtering. Vissa VPS-leverantörer erbjuder välkomstkrediter för nya användare, så att du kan skapa en provperiod till en låg kostnad.

Med din privata resolver kan du välja dina filtreringskällor, bestämma lagringspolicyer och undvik att centralisera dina frågor till tredje part. I gengäld hanterar du säkerhet, underhåll och hög tillgänglighet.

Innan vi avslutar, en liten giltighetsförklaring: på internet ändras alternativ, menyer och namn ofta; vissa gamla guider är föråldrade (Till exempel är det inte längre nödvändigt att gå igenom "flaggor" i Chrome i senare versioner.) Kontrollera alltid din webbläsares eller systemdokumentation.

Om du har kommit så här långt vet du redan vad DoH gör, hur det passar in i pusslet med DoT och DNSSEC, och viktigast av allt, hur man aktiverar det just nu på din enhet för att förhindra att DNS sprids obehindrat. Med några få klick i din webbläsare eller justeringar i Windows (även på policynivå i Server 2022) har du krypterade frågor; om du vill ta saker till nästa nivå kan du flytta krypteringen till MikroTik-routern eller bygga din egen resolver. Nyckeln är att, Utan att röra din router kan du skydda en av de mest omtalade delarna av din trafik idag..