วิธีเข้ารหัส DNS โดยไม่ต้องสัมผัสเราเตอร์ของคุณด้วย DoH: คู่มือฉบับสมบูรณ์

¿จะเข้ารหัส DNS ของคุณโดยไม่ต้องสัมผัสเราเตอร์ของคุณโดยใช้ DNS ผ่าน HTTPS ได้อย่างไร หากคุณกังวลว่าใครสามารถดูเว็บไซต์ที่คุณเชื่อมต่อได้ เข้ารหัสการสอบถามระบบชื่อโดเมนด้วย DNS ผ่าน HTTPS นี่เป็นหนึ่งในวิธีที่ง่ายที่สุดในการเพิ่มความเป็นส่วนตัวโดยไม่ต้องวุ่นวายกับเราเตอร์ของคุณ ด้วย DoH ตัวแปลที่แปลงโดเมนเป็นที่อยู่ IP จะหยุดเดินทางแบบปลอดภัยและผ่านอุโมงค์ HTTPS

ในคู่มือนี้ คุณจะพบว่าเป็นภาษาตรงไปตรงมาและไม่มีศัพท์เฉพาะมากเกินไป DoH คืออะไรกันแน่ แตกต่างจากตัวเลือกอื่นเช่น DoT อย่างไรวิธีเปิดใช้งานในเบราว์เซอร์และระบบปฏิบัติการ (รวมถึง Windows Server 2022) วิธีตรวจสอบว่าใช้งานได้จริง เซิร์ฟเวอร์ที่รองรับ และหากคุณกล้าพอ แม้แต่วิธีตั้งค่าตัวแก้ปัญหา DoH ของคุณเอง ทุกอย่าง โดยไม่ต้องสัมผัสเราเตอร์…ยกเว้นส่วนเสริมสำหรับผู้ที่ต้องการกำหนดค่าบน MikroTik

DNS over HTTPS (DoH) คืออะไร และทำไมคุณถึงควรสนใจ

เมื่อคุณพิมพ์โดเมน (เช่น Xataka.com) คอมพิวเตอร์จะถามตัวแก้ไข DNS ว่า IP ของโดเมนนั้นคืออะไร กระบวนการนี้โดยปกติจะเป็นข้อความธรรมดา และใครก็ตามในเครือข่ายของคุณ ผู้ให้บริการอินเทอร์เน็ต หรืออุปกรณ์ตัวกลาง ก็สามารถสอดแนมหรือควบคุมข้อมูลได้ นี่คือหัวใจสำคัญของ DNS แบบคลาสสิก: รวดเร็ว ครอบคลุมทุกพื้นที่... และโปร่งใสต่อบุคคลที่สาม

นี่คือที่มาของ DoH: มันจะย้ายคำถามและคำตอบ DNS เหล่านั้นไปยังช่องทางเข้ารหัสเดียวกันที่ใช้โดยเว็บที่ปลอดภัย (HTTPS, พอร์ต 443)ผลที่ได้คือข้อมูลเหล่านั้นจะไม่เดินทาง "ในที่โล่ง" อีกต่อไป ซึ่งช่วยลดโอกาสในการถูกจารกรรม การแฮ็กแบบสอบถาม และการโจมตีแบบ man-in-the-middle บางอย่าง นอกจากนี้ ในการทดสอบหลายครั้ง ความหน่วงไม่แย่ลงอย่างเห็นได้ชัด และสามารถปรับปรุงให้ดีขึ้นได้ด้วยการปรับปรุงการขนส่ง

ข้อได้เปรียบที่สำคัญคือ สามารถเปิดใช้งาน DoH ได้ที่ระดับแอปพลิเคชันหรือระบบคุณจึงไม่ต้องพึ่งผู้ให้บริการหรือเราเตอร์ของคุณเพื่อเปิดใช้งานอะไรก็ตาม กล่าวคือ คุณสามารถป้องกันตัวเอง "จากเบราว์เซอร์ภายนอก" ได้โดยไม่ต้องสัมผัสอุปกรณ์เครือข่ายใดๆ

สิ่งสำคัญคือต้องแยกความแตกต่างระหว่าง DoH กับ DoT (DNS over TLS): DoT เข้ารหัส DNS บนพอร์ต 853 โดยตรงผ่าน TLS ในขณะที่ DoH รวมเข้ากับ HTTP(S) ในทางทฤษฎี DoT นั้นง่ายกว่า แต่ มีแนวโน้มที่จะถูกบล็อกโดยไฟร์วอลล์มากขึ้น ที่ตัดพอร์ตที่ไม่ธรรมดา DoH ใช้ 443 เพื่อเลี่ยงข้อจำกัดเหล่านี้ได้ดีขึ้นและป้องกันการโจมตีแบบ "ผลักกลับ" ไปยัง DNS ที่ไม่ได้เข้ารหัส

เกี่ยวกับความเป็นส่วนตัว: การใช้ HTTPS ไม่ได้หมายความถึงคุกกี้หรือการติดตามใน DoH มาตรฐานแนะนำอย่างชัดเจนไม่ให้ใช้ ในบริบทนี้ TLS 1.3 ยังช่วยลดความจำเป็นในการรีสตาร์ทเซสชัน ช่วยลดความสัมพันธ์ และหากคุณกังวลเกี่ยวกับประสิทธิภาพ HTTP/3 บน QUIC ก็สามารถปรับปรุงเพิ่มเติมได้ด้วยการมัลติเพล็กซ์คิวรีโดยไม่บล็อก

DNS ทำงานอย่างไร ความเสี่ยงทั่วไป และ DoH เกี่ยวข้องอย่างไร

โดยปกติระบบปฏิบัติการจะเรียนรู้ว่าจะใช้ตัวแก้ไขปัญหาใดผ่าน DHCP ที่บ้านคุณมักจะใช้ ISPในสำนักงาน เครือข่ายองค์กร เมื่อการสื่อสารนี้ไม่ได้เข้ารหัส (UDP/TCP 53) ใครก็ตามที่ใช้ Wi-Fi หรือบนเส้นทางของคุณสามารถมองเห็นโดเมนที่ค้นหา แทรกคำตอบปลอม หรือเปลี่ยนเส้นทางคุณไปยังการค้นหาเมื่อโดเมนนั้นไม่มีอยู่จริง ซึ่งผู้ให้บริการบางรายก็ทำ

การวิเคราะห์การรับส่งข้อมูลโดยทั่วไปจะเปิดเผยพอร์ต IP ต้นทาง/ปลายทาง และโดเมนที่ได้รับการแก้ไข นี่ไม่เพียงแต่เปิดเผยนิสัยการท่องเว็บเท่านั้นนอกจากนี้ยังทำให้การเชื่อมโยงการเชื่อมต่อที่ตามมา เช่น กับที่อยู่ Twitter หรือที่คล้ายคลึงกัน ง่ายขึ้น และสามารถอนุมานได้ว่าคุณได้เยี่ยมชมหน้าใดบ้าง

ด้วย DoT ข้อความ DNS จะอยู่ภายใน TLS บนพอร์ต 853; ด้วย DoH แบบสอบถาม DNS จะถูกห่อหุ้มไว้ในคำขอ HTTPS มาตรฐานซึ่งช่วยให้แอปพลิเคชันบนเว็บสามารถใช้งานได้ผ่าน API ของเบราว์เซอร์ กลไกทั้งสองมีพื้นฐานเดียวกัน นั่นคือ การตรวจสอบสิทธิ์เซิร์ฟเวอร์ด้วยใบรับรองและช่องทางการเข้ารหัสแบบ end-to-end

ปัญหาของพอร์ตใหม่คือมันเกิดขึ้นบ่อย บางเครือข่ายบล็อค 853ส่งเสริมให้ซอฟต์แวร์ “ถอยกลับ” ไปใช้ DNS ที่ไม่เข้ารหัส DoH บรรเทาปัญหานี้ด้วยการใช้ 443 ซึ่งเป็นเรื่องปกติสำหรับเว็บ นอกจากนี้ DNS/QUIC ยังมีอยู่เป็นอีกทางเลือกหนึ่งที่น่าสนใจ แม้ว่าจะต้องใช้ UDP แบบเปิดและไม่สามารถใช้งานได้ตลอดเวลาก็ตาม

แม้แต่เมื่อเข้ารหัสการขนส่ง ควรระมัดระวังข้อหนึ่งดังต่อไปนี้: หากตัวแก้ปัญหาโกหก รหัสจะไม่สามารถแก้ไขมันได้เพื่อจุดประสงค์นี้ จึงมีการจัดตั้ง DNSSEC ขึ้น ซึ่งช่วยให้สามารถตรวจสอบความถูกต้องของการตอบสนองได้ แม้ว่าการนำไปใช้งานจะยังไม่แพร่หลายนัก และตัวกลางบางรายก็ทำให้ฟังก์ชันการทำงานของ DNSSEC เสียหายไปบ้าง แต่ถึงกระนั้น DoH ก็ยังป้องกันไม่ให้บุคคลที่สามแอบดูหรือแทรกแซงแบบสอบถามของคุณ

เปิดใช้งานโดยไม่ต้องสัมผัสเราเตอร์: เบราว์เซอร์และระบบ

วิธีที่ตรงไปตรงมามากที่สุดในการเริ่มต้นคือเปิดใช้งาน DoH ในเบราว์เซอร์หรือระบบปฏิบัติการของคุณ นี่คือวิธีปกป้องข้อสงสัยจากทีมของคุณ โดยไม่ต้องพึ่งเฟิร์มแวร์ของเราเตอร์

Google Chrome

ในเวอร์ชันปัจจุบันคุณสามารถไปที่ chrome://settings/security และภายใต้ “ใช้ DNS ที่ปลอดภัย” เปิดใช้งานตัวเลือกและเลือกผู้ให้บริการ (ผู้ให้บริการปัจจุบันของคุณหากรองรับ DoH หรือจากรายการของ Google เช่น Cloudflare หรือ Google DNS)

ในเวอร์ชันก่อนหน้านี้ Chrome เสนอสวิตช์ทดลอง: พิมพ์ chrome://flags/#dns-over-httpsค้นหา “การค้นหา DNS ที่ปลอดภัย” และ เปลี่ยนจากค่าเริ่มต้นเป็นเปิดใช้งาน. รีสตาร์ทเบราว์เซอร์ของคุณเพื่อใช้การเปลี่ยนแปลง

Microsoft Edge (โครเมียม)

Edge ที่ใช้ Chromium มีตัวเลือกที่คล้ายกัน หากคุณต้องการ โปรดไปที่ edge://flags/#dns-over-httpsค้นหา “การค้นหา DNS ที่ปลอดภัย” และ เปิดใช้งานได้ในเปิดใช้งานในเวอร์ชันใหม่ คุณสามารถเปิดใช้งานได้ในการตั้งค่าความเป็นส่วนตัวด้วย

Mozilla Firefox

เปิดเมนู (ด้านบนขวา) > การตั้งค่า > ทั่วไป > เลื่อนลงไปที่ “การตั้งค่าเครือข่าย” แตะที่ องค์ประกอบ และทำเครื่องหมาย “เปิดใช้งาน DNS ด้วย HTTPS” คุณสามารถเลือกจากผู้ให้บริการเช่น Cloudflare หรือ NextDNS

หากคุณต้องการการควบคุมแบบละเอียด about:config ปรับ network.trr.mode: 2 (ผู้ฉวยโอกาส) ใช้ DoH และสร้างทางเลือกอื่น หากไม่มี; 3. คำสั่ง (เข้มงวด) ของกระทรวงสาธารณสุข และล้มเหลวหากไม่มีการสนับสนุน ในโหมดเข้มงวด ให้กำหนดตัวแก้ไขบูตสแตรปเป็น network.trr.bootstrapAddress=1.1.1.1.

Opera

ตั้งแต่เวอร์ชัน 65 เป็นต้นมา Opera ได้รวมตัวเลือกไว้ด้วย เปิดใช้งาน DoH ด้วย 1.1.1.1จะถูกปิดใช้งานตามค่าเริ่มต้นและทำงานในโหมดโอกาส: หาก 1.1.1.1:443 ตอบสนอง มันจะใช้ DoH มิฉะนั้น มันจะกลับไปใช้ตัวแก้ปัญหาที่ไม่ได้เข้ารหัส

Windows 10/11: ตรวจจับอัตโนมัติ (AutoDoH) และรีจิสทรี

Windows สามารถเปิดใช้งาน DoH ได้โดยอัตโนมัติด้วยตัวแก้ปัญหาที่รู้จักบางตัว ในเวอร์ชันเก่า คุณสามารถบังคับพฤติกรรมได้ จาก Registry: เรียกใช้ regedit และไปที่ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

สร้าง DWORD (32 บิต) ที่เรียกว่า EnableAutoDoh ด้วยความกล้าหาญ 2 y รีสตาร์ทคอมพิวเตอร์วิธีนี้จะใช้งานได้หากคุณใช้เซิร์ฟเวอร์ DNS ที่รองรับ DoH

Windows Server 2022: ไคลเอนต์ DNS พร้อม DoH ดั้งเดิม

ไคลเอนต์ DNS ในตัวใน Windows Server 2022 รองรับ DoH คุณจะใช้ DoH ได้เฉพาะกับเซิร์ฟเวอร์ที่อยู่ในรายการ “DoH ที่รู้จัก” เท่านั้น หรือที่คุณเพิ่มเอง วิธีกำหนดค่าจากอินเทอร์เฟซแบบกราฟิก:

1. เปิดการตั้งค่า Windows > เครือข่ายและอินเทอร์เน็ต.
2. เข้าสู่ อีเธอร์เน็ต และเลือกอินเทอร์เฟซของคุณ
3. บนหน้าจอเครือข่าย เลื่อนลงไปที่ การกำหนดค่า DNS และกด แก้ไข.
4. เลือก “ด้วยตนเอง” เพื่อกำหนดเซิร์ฟเวอร์ที่ต้องการและสำรอง
5. หากที่อยู่เหล่านั้นอยู่ในรายการ DoH ที่ทราบ ระบบจะเปิดใช้งาน “การเข้ารหัส DNS ที่ต้องการ” ด้วยสามตัวเลือก:
   • การเข้ารหัสเท่านั้น (DNS ผ่าน HTTPS):บังคับ DoH; หากเซิร์ฟเวอร์ไม่รองรับ DoH จะไม่มีการแก้ไขปัญหา
   • ต้องการเข้ารหัส อนุญาตให้ไม่เข้ารหัส:พยายามทำ DoH และถ้าล้มเหลว ก็จะกลับไปใช้ DNS คลาสสิกที่ไม่เข้ารหัส
   • ไม่เข้ารหัสเท่านั้น:ใช้ DNS แบบข้อความธรรมดาแบบดั้งเดิม
6. บันทึกเพื่อใช้การเปลี่ยนแปลง

คุณยังสามารถสอบถามและขยายรายการตัวแก้ไข DoH ที่ทราบได้โดยใช้ PowerShell เพื่อดูรายการปัจจุบัน:

Get-DNSClientDohServerAddress

หากต้องการลงทะเบียนเซิร์ฟเวอร์ DoH ที่รู้จักใหม่กับเทมเพลตของคุณ ให้ใช้:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

โปรดทราบว่า cmdlet Set-DNSClientServerAddress ไม่สามารถควบคุมตัวเองได้ การใช้ DoH การเข้ารหัสขึ้นอยู่กับว่าที่อยู่เหล่านั้นอยู่ในตารางเซิร์ฟเวอร์ DoH ที่รู้จักหรือไม่ ขณะนี้คุณไม่สามารถกำหนดค่า DoH สำหรับไคลเอ็นต์ DNS ของ Windows Server 2022 จาก Windows Admin Center หรือด้วย sconfig.cmd.

นโยบายกลุ่มใน Windows Server 2022

มีคำสั่งเรียกว่า “กำหนดค่า DNS ผ่าน HTTPS (DoH)” en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNSเมื่อเปิดใช้งาน คุณสามารถเลือก:

• อนุญาตให้ DoH: ใช้ DoH หากเซิร์ฟเวอร์รองรับ มิฉะนั้น ให้สอบถามแบบไม่เข้ารหัส
• แบนโดห์: ไม่เคยใช้ DoH
• ต้องใช้ DoH: บังคับให้ DoH ถ้าไม่มีการสนับสนุน การแก้ไขปัญหาจะล้มเหลว

สำคัญ: อย่าเปิดใช้งาน “Require DoH” บนคอมพิวเตอร์ที่เข้าร่วมโดเมนActive Directory อาศัย DNS และบทบาทเซิร์ฟเวอร์ DNS ของ Windows Server ไม่รองรับการสอบถาม DoH หากคุณต้องการรักษาความปลอดภัยการรับส่งข้อมูล DNS ภายในสภาพแวดล้อม AD โปรดพิจารณาใช้ กฎ IPsec ระหว่างไคลเอนต์และผู้แก้ปัญหาภายใน

หากคุณสนใจในการเปลี่ยนเส้นทางโดเมนเฉพาะไปยังตัวแก้ปัญหาเฉพาะ คุณสามารถใช้ NRPT (ตารางนโยบายการแก้ไขชื่อ)หากเซิร์ฟเวอร์ปลายทางอยู่ในรายการ DoH ที่ทราบ การปรึกษาหารือเหล่านั้น จะเดินทางผ่าน ทภ.

แอนดรอยด์, ไอโอเอส และลินุกซ์

บน Android 9 ขึ้นไป มีตัวเลือก DNS ส่วนตัว อนุญาต DoT (ไม่ใช่ DoH) ด้วยสองโหมด: "อัตโนมัติ" (ตามโอกาส ใช้ตัวแก้ไขเครือข่าย) และ "เข้มงวด" (คุณต้องระบุชื่อโฮสต์ที่ตรวจสอบโดยใบรับรอง ไม่รองรับ IP โดยตรง)

บน iOS และ Android แอป 1.1.1.1 Cloudflare เปิดใช้งาน DoH หรือ DoT ในโหมดเข้มงวดโดยใช้ VPN API เพื่อสกัดกั้นคำขอที่ไม่ได้เข้ารหัสและ ส่งต่อผ่านช่องทางที่ปลอดภัย.

บน Linux systemd- แก้ไข รองรับ DoT ตั้งแต่ systemd 239 โดยถูกปิดใช้งานตามค่าเริ่มต้น โดยเสนอโหมดโอกาสโดยไม่ต้องตรวจสอบใบรับรองและโหมดเข้มงวด (ตั้งแต่ 243) พร้อมการตรวจสอบ CA แต่ไม่มี SNI หรือการตรวจสอบชื่อ ซึ่ง ทำให้รูปแบบความไว้วางใจอ่อนแอลง ต่อกรกับผู้บุกรุกบนท้องถนน

บน Linux, macOS หรือ Windows คุณสามารถเลือกใช้ไคลเอนต์ DoH โหมดเข้มงวด เช่น cloudflared proxy-dns (โดยค่าเริ่มต้นจะใช้ 1.1.1.1 แม้ว่า คุณสามารถกำหนดอัปสตรีมได้ ทางเลือก)

เซิร์ฟเวอร์ DoH ที่รู้จัก (Windows) และวิธีการเพิ่มเพิ่มเติม

Windows Server มีรายการตัวแก้ไขปัญหาที่ทราบว่ารองรับ DoH คุณสามารถตรวจสอบได้ด้วย PowerShell และเพิ่มรายการใหม่หากคุณต้องการ

เหล่านี้คือ รู้จักเซิร์ฟเวอร์ DoH ออกจากกล่อง:

เจ้าของเซิร์ฟเวอร์	ที่อยู่ IP ของเซิร์ฟเวอร์ DNS
Cloudflare	1.1.1.1 1.0.0.1 2606: 4700: 4700 1111 :: 2606: 4700: 4700 1001 ::
Google	8.8.8.8 8.8.4.4 2001: 4860: 4860 8888 :: 2001: 4860: 4860 8844 ::
Quad9	9.9.9.9 149.112.112.112 2620: fe :: fe 2620: fe :: fe: 9

ไปยัง ดูรายการ, วิ่ง:

Get-DNSClientDohServerAddress

ไปยัง เพิ่มตัวแก้ไข DoH ใหม่พร้อมเทมเพลต, สหรัฐอเมริกา:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

หากคุณจัดการเนมสเปซหลายรายการ NRPT จะช่วยให้คุณ จัดการโดเมนเฉพาะ ไปยังตัวแก้ปัญหาเฉพาะที่รองรับ DoH

วิธีตรวจสอบว่า DoH ทำงานอยู่หรือไม่

ในเบราว์เซอร์ให้เยี่ยมชม https://1.1.1.1/help; แล้วคุณจะเห็นว่า การรับส่งข้อมูลของคุณกำลังใช้ DoH ด้วย 1.1.1.1 หรือไม่ เป็นการทดสอบอย่างรวดเร็วเพื่อดูว่าคุณอยู่ในสถานะใด

ใน Windows 10 (เวอร์ชัน 2004) คุณสามารถตรวจสอบการรับส่งข้อมูล DNS แบบคลาสสิก (พอร์ต 53) ได้ด้วย พีเคทีมอน จากคอนโซลที่มีสิทธิพิเศษ:

pktmon filter add -p 53
pktmon start --etw -m real-time

หากมีแพ็กเก็ตสตรีมต่อเนื่องปรากฏบน 53 เป็นไปได้มากว่า คุณยังคงใช้ DNS ที่ไม่เข้ารหัส. จำไว้: พารามิเตอร์ --etw -m real-time ต้องใช้ 2004; ในเวอร์ชันก่อนหน้านี้ คุณจะเห็นข้อผิดพลาด "พารามิเตอร์ที่ไม่รู้จัก"

ทางเลือก: กำหนดค่าบนเราเตอร์ (MikroTik)

หากคุณต้องการรวมการเข้ารหัสไว้ที่เราเตอร์ คุณสามารถเปิดใช้งาน DoH บนอุปกรณ์ MikroTik ได้อย่างง่ายดาย ขั้นแรกให้ทำการนำเข้า CA หลัก ซึ่งจะถูกเซ็นชื่อโดยเซิร์ฟเวอร์ที่คุณจะเชื่อมต่อ สำหรับ Cloudflare คุณสามารถดาวน์โหลดได้ DigiCertGlobalRootCA.crt.pem.

อัปโหลดไฟล์ไปยังเราเตอร์ (โดยการลากไปที่ "ไฟล์") และไปที่ ระบบ > ใบรับรอง > นำเข้า เพื่อรวมมันเข้าไป จากนั้นกำหนดค่า DNS ของเราเตอร์ด้วย URL DoH ของ Cloudflareเมื่อเปิดใช้งานแล้ว เราเตอร์จะให้ความสำคัญกับการเชื่อมต่อที่เข้ารหัสมากกว่า DNS ที่ไม่เข้ารหัสตามค่าเริ่มต้น

เพื่อตรวจสอบว่าทุกอย่างเป็นไปตามระเบียบ โปรดไปที่ 1.1.1.1/ช่วยเหลือ จากคอมพิวเตอร์ที่อยู่หลังเราเตอร์ คุณสามารถทำทุกอย่างผ่านเทอร์มินัลได้ ใน RouterOS หากคุณต้องการ

ประสิทธิภาพ ความเป็นส่วนตัวเพิ่มเติม และข้อจำกัดของแนวทาง

เมื่อพูดถึงความเร็ว มีสองตัวชี้วัดที่มีความสำคัญ: เวลาในการแก้ปัญหาและการโหลดหน้าจริง การทดสอบอิสระ (เช่น SamKnows) พวกเขาสรุปว่าความแตกต่างระหว่าง DoH และ DNS แบบคลาสสิก (Do53) นั้นไม่ชัดเจนในทั้งสองด้าน แต่ในทางปฏิบัติ คุณไม่ควรสังเกตเห็นความช้าใดๆ

DoH เข้ารหัส "การสอบถาม DNS" แต่มีสัญญาณเพิ่มเติมบนเครือข่าย แม้ว่าคุณจะซ่อน DNS แต่ ISP ก็สามารถอนุมานสิ่งต่างๆ ได้ ผ่านการเชื่อมต่อ TLS (เช่น SNI ในบางสถานการณ์เดิม) หรือการติดตามอื่นๆ เพื่อเพิ่มความเป็นส่วนตัว คุณสามารถสำรวจ DoT, DNSCrypt, DNSCurve หรือไคลเอ็นต์ที่ลดข้อมูลเมตาให้เหลือน้อยที่สุด

ระบบนิเวศทั้งหมดยังไม่รองรับ DoH ตัวแก้ไขปัญหาแบบเดิมหลายตัวไม่ได้เสนอสิ่งนี้การบังคับให้ต้องพึ่งพาแหล่งข้อมูลสาธารณะ (Cloudflare, Google, Quad9 เป็นต้น) ทำให้เกิดการถกเถียงกันเรื่องการรวมศูนย์ข้อมูล: การมุ่งเน้นการค้นหาไปที่ผู้ดำเนินการเพียงไม่กี่รายนั้นก่อให้เกิดต้นทุนด้านความเป็นส่วนตัวและความน่าเชื่อถือ

ในสภาพแวดล้อมขององค์กร DoH อาจขัดแย้งกับนโยบายความปลอดภัยที่อิงตาม การตรวจสอบหรือการกรอง DNS (มัลแวร์ การควบคุมโดยผู้ปกครอง การปฏิบัติตามกฎหมาย) โซลูชันนี้ประกอบด้วย MDM/นโยบายกลุ่ม เพื่อตั้งค่าตัวแก้ไข DoH/DoT ให้เป็นโหมดเข้มงวด หรือใช้ร่วมกับการควบคุมระดับแอปพลิเคชัน ซึ่งมีความแม่นยำมากกว่าการบล็อกตามโดเมน

DNSSEC เสริม DoH: DoH ปกป้องการขนส่ง; DNSSEC ตรวจสอบการตอบสนองการใช้งานยังคงไม่สม่ำเสมอ และอุปกรณ์ตัวกลางบางตัวก็ทำให้ใช้งานไม่ได้ แต่แนวโน้มเป็นไปในทางบวก ตลอดเส้นทางระหว่างตัวแก้ปัญหาและเซิร์ฟเวอร์ที่น่าเชื่อถือ โดยทั่วไปแล้ว DNS จะยังคงไม่เข้ารหัส มีการทดลองการใช้ DoT ในกลุ่มผู้ให้บริการรายใหญ่ (เช่น 1.1.1.1 กับเซิร์ฟเวอร์ที่น่าเชื่อถือของ Facebook) เพื่อเพิ่มประสิทธิภาพในการป้องกัน

ทางเลือกกลางคือการเข้ารหัสระหว่างเท่านั้น เราเตอร์และตัวแก้ปัญหาโดยปล่อยให้การเชื่อมต่อระหว่างอุปกรณ์และเราเตอร์ไม่มีการเข้ารหัส มีประโยชน์บนเครือข่ายแบบใช้สายที่ปลอดภัย แต่ไม่แนะนำให้ใช้บนเครือข่าย Wi-Fi แบบเปิด: ผู้ใช้รายอื่นอาจสอดแนมหรือจัดการคำขอเหล่านี้ภายใน LAN ได้

สร้างตัวแก้ไข DoH ของคุณเอง

หากคุณต้องการความเป็นอิสระโดยสมบูรณ์ คุณสามารถปรับใช้ตัวแก้ไขปัญหาของคุณเองได้ ไม่ผูกมัด + Redis (แคช L2) + Nginx เป็นการผสมผสานที่ได้รับความนิยมสำหรับการให้บริการ URL DoH และการกรองโดเมนด้วยรายการที่อัปเดตได้อัตโนมัติ

สแต็กนี้ทำงานได้อย่างสมบูรณ์แบบบน VPS ขนาดเล็ก (ตัวอย่างเช่น แกนเดียว/สาย 2 เส้น สำหรับครอบครัว) มีคู่มือพร้อมคำแนะนำที่พร้อมใช้งาน เช่นที่เก็บข้อมูลนี้: github.com/ousatov-ua/dns-filtering ผู้ให้บริการ VPS บางรายเสนอเครดิตต้อนรับ สำหรับผู้ใช้ใหม่ คุณสามารถตั้งค่าทดลองใช้งานด้วยต้นทุนต่ำได้

ด้วยตัวแก้ไขส่วนตัว คุณสามารถเลือกแหล่งการกรอง ตัดสินใจนโยบายการเก็บรักษา และ หลีกเลี่ยงการรวมคำถามของคุณไว้ที่ศูนย์กลาง ให้แก่บุคคลที่สาม ในทางกลับกัน คุณจะจัดการความปลอดภัย การบำรุงรักษา และความพร้อมใช้งานสูง

ก่อนปิดท้าย ขอแจ้งให้ทราบว่าบนอินเทอร์เน็ต ตัวเลือก เมนู และชื่อต่างๆ มีการเปลี่ยนแปลงบ่อยครั้ง คู่มือเก่าบางเล่มก็ล้าสมัยแล้ว (ตัวอย่างเช่น ไม่จำเป็นต้องดู "แฟล็ก" ใน Chrome อีกต่อไปในเวอร์ชันล่าสุด) โปรดตรวจสอบกับเบราว์เซอร์หรือเอกสารระบบของคุณเสมอ

หากคุณมาถึงตรงนี้แล้ว คุณคงทราบแล้วว่า DoH ทำอะไร เกี่ยวข้องกับ DoT และ DNSSEC อย่างไร และที่สำคัญที่สุดคือ วิธีเปิดใช้งานทันทีบนอุปกรณ์ของคุณ เพื่อป้องกันไม่ให้ DNS ถูกส่งไปแบบปลอดภัย ด้วยการคลิกเพียงไม่กี่ครั้งในเบราว์เซอร์ของคุณ หรือการปรับแต่งใน Windows (แม้ในระดับนโยบายใน Server 2022) คุณก็จะมีคิวรีที่เข้ารหัสไว้ หากต้องการยกระดับขึ้นไปอีกขั้น คุณสามารถย้ายการเข้ารหัสไปยังเราเตอร์ MikroTik หรือสร้างตัวแก้ปัญหาของคุณเองได้ สิ่งสำคัญคือ คุณสามารถปกป้องส่วนหนึ่งของการรับส่งข้อมูลที่ถูกพูดถึงมากที่สุดในปัจจุบันได้ โดยไม่ต้องสัมผัสเราเตอร์ของคุณ.