Какво е DNS-Over-HTTPS и как да го активирате на вашето устройство (или браузър)

• Категория: Ръководства

Опитайте Нашия Инструмент За Премахване На Проблемите

Изберете Операционната Система Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Изберете Програма За Проекция (По Желание) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишете Проблема Си

Вземете Отговор

Изпратете Ме По Имейл Показване На Сайта

DNS-over-HTTPS (Secure DNS) е нова технология, която има за цел да защити сърфирането в мрежата чрез криптиране на комуникацията между клиентския компютър и DNS сървъра.

Този нов интернет стандарт се приема широко. Списъкът за осиновяване включва Windows 10 (версия 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera и Vivaldi, за да назовем само няколко.

В тази статия ще обсъдим предимствата и недостатъците на DNS-over-HTTPS и как да активирате този протокол във вашите устройства.

Ще обсъдим и как да тестваме дали DoH е активиран за вашите устройства или не.

Нека да започнем. Бързо обобщение Крия 1 Просто обяснение на DNS-over-HTTPS и как работи 2 Плюсове и минуси на DNS-over-HTTPS 2.1 DoH не позволява пълна поверителност на потребителя 2.2 DoH не се прилага за HTTP заявки 2.3 Не всички DNS сървъри поддържат DoH 2.4 DoH ще бъде главоболие за предприятията 3 Използването на DNS-over-HTTPS забавя ли сърфирането? 4 Как да активирате или деактивирате DNS-over-HTTPS в Windows 10 4.1 Използване на системния регистър на Windows 4.2 Използване на групови правила 4.3 Използване на PowerShell (командния ред) 5 Как да активирате или деактивирате DNS-over-HTTPS във вашите браузъри 5.1 Активирайте DNS-over-HTTPS в Google Chrome 5.2 Активирайте DNS-over-HTTPS в Mozilla Firefox 5.3 Активирайте DNS-over-HTTPS в Microsoft Edge 5.4 Активирайте DNS-over-HTTPS в браузъра Opera 5.5 Активирайте DNS-over-HTTPS в браузъра Vivaldi 6 Как да активирате DNS-over-HTTPS в Android 7 Как проверявате дали използвате DNS-over-HTTPS? 8 Списък на сървъри за имена, които поддържат DoH

Просто обяснение на DNS-over-HTTPS и как работи

DNS-over-HTTPS (DoH) е протокол за криптиране на DNS заявки между вашия компютър и DNS сървъра. За първи път е представен през октомври 2018 г. ( IETF RFC 8484 ) с цел повишаване на сигурността и поверителността на потребителите.

Традиционните DNS сървъри използват DNS порт 53 за комуникация, докато DNS-over-HTTPS използва HTTPS порт 443 за сигурна комуникация с клиента.

Моля, обърнете внимание, че въпреки че DoH е протокол за сигурност, той не пречи на интернет доставчиците да проследяват вашите заявки. Той просто криптира данните за DNS заявки между вашия компютър и ISP, за да предотврати проблеми като измама, атака „човек в средата“ и др.

Нека разберем това с прост пример.

Ето как работи DNS:

1. Ако искате да отворите името на домейна itechtics.com и да го поискате с помощта на браузъра си.
2. Вашият браузър изпраща заявка до DNS сървъра, конфигуриран във вашата система, например 1.1.1.1.
3. DNS рекурсивният резолвер (1.1.1.1) отива до кореновите сървъри на домейна от най -високо ниво (TLD) (.com в нашия случай) и иска сървърите с имена на itechtics.com.
4. След това DNS сървърът (1.1.1.1) отива до сървърите с имена на itechtics.com и пита за IP адреса на DNS името на itechtics.com.
5. DNS сървърът (1.1.1.1) носи тази информация на браузъра и браузърът се свързва с itechtics.com и получава отговор от сървъра.

Цялата тази комуникация от вашия компютър към DNS сървъра до TLD DNS сървъри до сървърите за имена до уебсайта и обратно се извършва под формата на прости текстови съобщения.

Това означава, че всеки може да следи вашия уеб трафик и лесно да знае кои уебсайтове отваряте.

DNS-over-HTTPS криптира цялата комуникация между вашия компютър и DNS сървъра, което го прави по-сигурен и по-малко предразположен към атаки „човек в средата“ и други фалшиви атаки.

Нека разберем това с визуален пример:

Когато DNS клиент изпраща DNS заявки към DNS сървъра, без да използва DoH:

DNS през HTTPS не е активиран

Когато DoH клиент използва DoH протокол за изпращане на DNS трафик към DNS сървър с активирана DoH:

DNS през HTTPS е активиран

Тук можете да видите, че DNS трафикът от клиента към сървъра е криптиран и никой не знае какво е поискал клиентът. DNS отговорът от сървъра също е криптиран.

Плюсове и минуси на DNS-over-HTTPS

Докато DNS-over-HTTPS бавно ще замени наследената DNS система, тя идва със свои собствени предимства и потенциални проблеми. Нека обсъдим някои от тях тук.

DoH не позволява пълна поверителност на потребителя

DoH се рекламира като следващото голямо нещо в поверителността и сигурността на потребителите, но според мен тя е фокусирана само върху сигурността на потребителите, а не върху поверителността.

Ако знаете как работи този протокол, ще знаете, че DoH не пречи на интернет доставчиците да проследяват DNS заявките на потребителите.

Дори ако интернет доставчикът не може да ви проследи с помощта на DNS, тъй като използвате различен публичен доставчик на DNS, има много точки от данни, които все още са отворени за проследяване от доставчиците на интернет услуги. Например, Полета за име на сървър (SNI) и Онлайн връзки с протокол за състояние на сертификат (OCSP) и т.н.

Ако искате повече поверителност, трябва да проверите други технологии като DNS-over-TLS (DoT), DNSCurve, DNSCrypt и др.

DoH не се прилага за HTTP заявки

Ако отваряте уебсайт, който не работи с помощта на SSL, DoH сървърът ще се върне към старата DNS технология (DNS-over-HTTP), известна още като Do53.

Но ако използвате защитена комуникация навсякъде, DoH определено е по -добре, отколкото да използвате стари и несигурни DNS технологии с голи метали.

Не всички DNS сървъри поддържат DoH

Има голям брой наследени DNS сървъри, които ще трябва да бъдат надстроени, за да поддържат DNS-over-HTTPS. Това ще отнеме много време за широкото приемане.

Докато този протокол не се поддържа от повечето DNS сървъри, повечето потребители ще бъдат принудени да използват публичните DNS сървъри, предлагани от големи организации.

Това ще доведе до повече проблеми с поверителността, тъй като повечето от DNS данните ще се събират на няколко централизирани места по света.

Друг недостатък на ранното приемане на DoH е, че ако глобален DNS сървър се срине, той ще спъне по -голямата част от потребителите, използващи сървъра за разрешаване на имена.

DoH ще бъде главоболие за предприятията

Докато DoH ще подобри сигурността, това ще бъде главоболие за предприятията и организациите, които следят дейностите на своите служители и използват инструменти за блокиране на NSFW (не безопасни за работа) части в мрежата.

Администраторите на мрежата и системата трудно ще се справят с новия протокол.

Използването на DNS-over-HTTPS забавя ли сърфирането?

Има два аспекта на DoH, които трябва да се търсят при тестване на производителността спрямо наследения протокол Do53:

1. Производителност на разделяне на имена
2. Ефективност на зареждане на уеб страница

Производителността на разрешаването на имена е показателят, който използваме за изчисляване на времето, необходимо на DNS сървъра да ни даде необходимия IP адрес на сървъра на уебсайта, който искаме да посетим.

Ефективността на зареждане на уеб страници е действителният показател за това дали усещаме някакво забавяне, когато сърфираме в Интернет, използвайки DNS-over-HTTPS протокол.

И двата теста бяха извършени от samknows и крайният резултат е, че има незначителна разлика в производителността между DNS-over-HTTPS и наследствените Do53 протоколи.

Можете да прочетете пълен казус на ефективността със статистика в samknows .

Ето обобщените таблици за всеки показател, който дефинирахме по -горе. (Щракнете върху изображението за по -голям изглед)

Тест за ефективност на разделителната способност на имената

Таблица за производителност на DoH срещу Do53

Тест за ефективност при зареждане на уеб страница

Производителност при зареждане на DoH срещу Do53

Как да активирате или деактивирате DNS-over-HTTPS в Windows 10

Windows 10 версия 2004 ще се предлага с активиран DNS-over-HTTPS по подразбиране. Така че след като бъде пусната следващата версия на Windows 10 и надстроите до най -новата версия, няма да е необходимо да активирате DoH ръчно.

Ако обаче използвате Windows 10 Insider Preview, ще трябва да активирате DoH ръчно, като използвате следните методи:

Използване на системния регистър на Windows

1. Отидете на Изпълнете -> regedit . Това ще отвори редактора на системния регистър на Windows.
2. Отворете следния ключ на системния регистър:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
3. Щракнете с десния бутон върху Параметри папка и изберете Ново-> DWORD (32-битов) Стойност.
4. Назовете го EnableAutoDoh .
5. Задайте стойността на записа EnableAutoDoh на 2 .
   

Ще трябва да рестартирате компютъра, за да влязат в сила промените.

Моля, обърнете внимание, че тази промяна ще влезе в сила само когато използвате DNS сървърите, които поддържат DNS-over-HTTPS. По -долу ще намерите a списък на публични доставчици на DNS, които поддържат DoH .

По -ранните версии на Windows 10, включително версии 1909 и 1903, не поддържат DoH по подразбиране.

Използване на групови правила

Запазвам този раздел за бъдеща употреба. В момента няма правила за групови правила за DNS-over-HTTPS. Ще попълним стъпките, когато Microsoft ги направи достъпни за Windows 10 Версия 2004.

Използване на PowerShell (командния ред)

Запазвам този раздел за бъдеща употреба. Ако Microsoft предостави начин за активиране или деактивиране на DoH чрез командния ред, ще изброим стъпките тук.

Как да активирате или деактивирате DNS-over-HTTPS във вашите браузъри

Някои приложения поддържат заобикаляне на конфигурирания от системата DNS сървър и вместо това използват DNS-over-HTTPS. Почти всички съвременни браузъри или вече поддържат DoH, или ще поддържат протокола в близко бъдеще.

Активирайте DNS-over-HTTPS в Google Chrome

1. Отворете Google Chrome и отидете на следния URL адрес:
   chrome://settings/security
2. Под Разширена сигурност , включете Използвайте защитен DNS .
3. След активиране на защитен DNS ще има две възможности:
   • С настоящия си доставчик на услуги
   • С препоръчаните от Google доставчици на услуги

Можете да изберете каквото ви подхожда. Втората опция ще превиши DNS настройките на вашата система.

Активирайте защитен DNS в Google Chrome

За да деактивирате DoH, просто превключете Използвайте защитен DNS настройки за изключен .

Активирайте DNS-over-HTTPS в Mozilla Firefox

1. Отворете Firefox и отидете на следния URL адрес:
   about:preferences
2. Под общ , отидете на Мрежови настройки и кликнете върху Настройки бутон. Или просто натиснете И клавиш на клавиатурата, за да отворите настройките.
3. Превъртете до дъното и проверка Активирайте DNS през HTTPS .
4. От падащото меню можете да изберете предпочитания защитен DNS сървър.
   

Активирайте DNS-over-HTTPS в Microsoft Edge

1. Отворете Microsoft Edge и отидете на следния URL адрес:
   edge://flags/#dns-over-https
2. Изберете Активирано от падащото меню до Сигурни DNS търсения .
3. Рестартирайте браузъра, за да влязат в сила промените.
   

Активирайте DNS-over-HTTPS в браузъра Opera

1. Отворете браузъра Opera и отидете на Настройки (Alt + P).
2. Разгъване Разширено в лявото меню.
3. Под Система, включете Използвайте DNS-over-HTTPS вместо настройките на DNS на системата .
4. Рестартирайте браузъра, за да влязат в сила промените.
   

Настройките за защитен DNS не влязоха в сила, докато не деактивирах вградената VPN услуга на Opera. Ако имате проблеми с активирането на DoH в Opera, опитайте да деактивирате VPN.

Активирайте DNS-over-HTTPS в браузъра Vivaldi

1. Отворете браузъра Vivaldi и отидете на следния URL адрес:
   vivaldi://flags/#dns-over-https
2. Изберете Активирано от падащото меню до Сигурни DNS търсения .
3. Рестартирайте браузъра, за да влязат в сила промените.
   

Как да активирате DNS-over-HTTPS в Android

Android 9 Pie поддържа DoH настройки. Можете да изпълните стъпките по -долу, за да активирате DoH на телефона си с Android:

1. Отидете на Настройки → Мрежа и интернет → Разширени → Частен DNS .
2. Можете или да зададете тази опция на Авто, или сами да посочите защитен доставчик на DNS.
   

Ако не можете да намерите тези настройки на телефона си, можете да изпълните стъпките по -долу:

1. Изтеглете и отворете приложението QuickShortcutMaker от Google Play Store.
2. Отидете в Настройки и докоснете:
   com.android.settings.Settings$NetworkDashboardActivity

Това ще ви отведе директно до страницата с мрежови настройки, където ще намерите опцията за защитен DNS.

Как проверявате дали използвате DNS-over-HTTPS?

Има два начина да проверите дали DoH е активиран правилно за вашето устройство или браузъра.

Най -лесният начин да проверите това е като отидете на тази страница за проверка на сърфирането в cloudflare . Щракнете върху Проверете Моят браузър бутон.

Под Secure DNS ще получите следното съобщение, ако използвате DoH: | _+_ |

Ако не използвате DoH, ще получите следното съобщение: | _+_ |

Windows 10 версия 2004 също така дава възможност за наблюдение на пакети от порт 53 в реално време. Това ще ни каже дали системата използва DNS-over-HTTPS или наследствения Do53.

1. Отворете PowerShell с администраторски права.
2. Изпълнете следните команди:
   pktmon filter remove
   Това премахва всички активни филтри, ако има такива.
   pktmon filter add -p 53
   Това добавя порт 53, който да бъде наблюдаван и регистриран.
   pktmon start --etw -m real-time
   Това започва с мониторинг в реално време на порт 53.
   

Ако видите много трафик да се показва в списъка, това означава, че наследственият Do53 се използва вместо DoH.

Моля, обърнете внимание, че горепосочените команди ще работят само в Windows 10 версия 2004. В противен случай това ще ви даде грешка: Неизвестен параметър „в реално време“

Списък на сървъри за имена, които поддържат DoH

Ето списъка с доставчици на DNS услуги, които поддържат DNS-over-HTTPS.

Доставчик	Име на хост	IP адрес
AdGuard	dns.adguard.com	176,103,130,132 176,103,130,134
AdGuard	dns-family.adguard.com	176,103,130,132 176,103,130,134
CleanBrowing	family-filter-dns.cleanbrowsing.org	185,228,168,168 185,228,169,168
CleanBrowing	adult-filter-dns.cleanbrowsing.org	185.228.168.10 185.228.169.11
Cloudflare	one.one.one.one 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Cloudflare	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Cloudflare	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
NextDNS	dns.nextdns.io	45.90.28.0 45.90.30.0
OpenDNS	dns.opendns.com	208.67.222.222 208.67.220.220
OpenDNS	familyshield.opendns.com	208.67.222.123 208.67.220.123
OpenDNS	sandbox.opendns.com	208.67.222.2 208.67.220.2
Quad9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149,112,112,112

Въпреки че DNS-over-HTTPS правят мрежата по-сигурна и трябва да се прилагат еднакво в мрежата (както в случая с HTTPS), този протокол ще създаде кошмари за системните администратори.

Систематичните администратори трябва да намерят начини да блокират публични DNS услуги, като същевременно позволяват на своите вътрешни DNS сървъри да използват DoH. Това трябва да се направи, за да се поддържа актуалното оборудване за мониторинг и политиките за ограничение в цялата организация.

Ако съм пропуснал нещо в статията, моля, уведомете ме в коментарите по -долу. Ако статията ви е харесала и сте научили нещо ново, моля, споделете я с приятелите си и в социалните медии и се абонирайте за нашия бюлетин.