Kas yra DNS per HTTPS ir kaip jį įjungti savo įrenginyje (ar naršyklėje)

Išbandykite Mūsų Instrumentą, Kaip Pašalinti Problemas

DNS-over-HTTPS (Secure DNS) yra nauja technologija, kuria siekiama užtikrinti saugų naršymą internete, užšifruojant ryšį tarp kliento kompiuterio ir DNS serverio.

Šis naujas interneto standartas yra plačiai taikomas. Į priėmimo sąrašą įtraukta „Windows 10“ (2004 m. Versija), „Android 9 Pie“, „Google Chrome“, „Mozilla Firefox“, „Microsoft Edge“, „Opera“ ir „Vivaldi“.

Šiame straipsnyje aptarsime DNS per HTTPS pranašumus ir trūkumus bei kaip įgalinti šį protokolą savo įrenginiuose.

Taip pat aptarsime, kaip patikrinti, ar „DoH“ jūsų įrenginiams įjungtas.

Pradėkime. Greita santrauka pasislėpti 1 Paprastas DNS per HTTPS paaiškinimas ir jo veikimas 2 DNS per HTTPS privalumai ir trūkumai 2.1 „DoH“ neįgalina visiško vartotojo privatumo 2.2 DoH netaikomas HTTP užklausoms 2.3 Ne visi DNS serveriai palaiko DoH 2.4 DoH bus galvos skausmas įmonėms 3 Ar naudojant DNS per HTTPS sulėtėja naršymas? 4 Kaip įjungti arba išjungti „DNS-over-HTTPS“ sistemoje „Windows 10“ 4.1 Naudojant „Windows“ registrą 4.2 Grupės politikos naudojimas 4.3 „PowerShell“ (komandinė eilutė) naudojimas 5 Kaip įjungti arba išjungti DNS per HTTPS naršyklėse 5.1 „Google Chrome“ įgalinkite DNS per HTTPS 5.2 Įgalinkite DNS per HTTPS „Mozilla Firefox“ 5.3 „Microsoft Edge“ įgalinkite DNS per HTTPS 5.4 „Opera“ naršyklėje įgalinkite DNS per HTTPS 5.5 Įgalinkite DNS per HTTPS „Vivaldi“ naršyklėje 6 Kaip įjungti DNS per HTTPS „Android“ 7 Kaip patikrinti, ar naudojate DNS per HTTPS? 8 Vardų serverių, palaikančių DoH, sąrašas

Paprastas DNS per HTTPS paaiškinimas ir jo veikimas

DNS-over-HTTPS (DoH) yra protokolas, skirtas šifruoti DNS užklausas tarp kompiuterio ir DNS serverio. Jis pirmą kartą buvo pristatytas 2018 m. Spalio mėn. IETF RFC 8484 ), siekiant padidinti vartotojų saugumą ir privatumą.

Tradiciniai DNS serveriai bendravimui naudoja 53 DNS prievadą, o DNS per HTTPS naudoja HTTPS 443 prievadą, kad galėtų saugiai bendrauti su klientu.

Atminkite, kad nors „DoH“ yra saugos protokolas, jis netrukdo IPT sekti jūsų užklausas. Tai tiesiog užšifruoja DNS užklausos duomenis tarp jūsų kompiuterio ir IPT, kad būtų išvengta tokių problemų kaip sukčiavimas, „viduryje vykstanti ataka“ ir pan.

Supraskime tai paprastu pavyzdžiu.

Štai kaip veikia DNS:

  1. Jei norite atidaryti domeno vardą itechtics.com ir paprašyti jo naudodami naršyklę.
  2. Jūsų naršyklė siunčia užklausą į jūsų sistemoje sukonfigūruotą DNS serverį, pvz., 1.1.1.1.
  3. DNS rekursinis sprendimas (1.1.1.1) eina į aukščiausio lygio domeno (TLD) (mūsų atveju .com) šakninius serverius ir prašo itechtics.com vardų serverių.
  4. Tada DNS serveris (1.1.1.1) eina į itechtics.com vardų serverius ir prašo itechtics.com DNS pavadinimo IP adreso.
  5. DNS serveris (1.1.1.1) perduoda šią informaciją į naršyklę, o naršyklė prisijungia prie itechtics.com ir gauna atsakymą iš serverio.

Visa ši komunikacija iš kompiuterio į DNS serverį į TLD DNS serverius į vardų serverius į svetainę ir atgal atliekama paprastų tekstinių pranešimų forma.

Tai reiškia, kad kiekvienas gali stebėti jūsų žiniatinklio srautą ir lengvai žinoti, kokias svetaines atidarote.

„DNS-over-HTTPS“ užšifruoja visą komunikaciją tarp jūsų kompiuterio ir DNS serverio, todėl ji tampa saugesnė ir mažiau linkusi į „viduryje“ vykstančias atakas ir kitus sukčiavimo išpuolius.

Supraskime tai vaizdiniu pavyzdžiu:

Kai DNS klientas siunčia DNS užklausas į DNS serverį nenaudodamas DoH:

DNS per HTTPS neįgalintas

Kai „DoH“ klientas naudoja „DoH“ protokolą siųsti DNS srautą į „DoH“ įgalintą DNS serverį:

DNS per HTTPS įgalintas

Čia galite pamatyti, kad DNS srautas iš kliento į serverį yra užšifruotas ir niekas nežino, ko klientas paprašė. DNS atsakymas iš serverio taip pat yra užšifruotas.

DNS per HTTPS privalumai ir trūkumai

Nors DNS per HTTPS lėtai pakeis senąją DNS sistemą, ji turi savo privalumų ir galimų problemų. Čia aptarkime kai kuriuos iš jų.

„DoH“ neįgalina visiško vartotojo privatumo

„DoH“ įvardijamas kaip kitas svarbus dalykas vartotojų privatumo ir saugumo srityse, tačiau, mano nuomone, jis skirtas tik vartotojų saugumui, o ne privatumui.

Jei žinote, kaip veikia šis protokolas, žinosite, kad „DoH“ netrukdo IPT stebėti vartotojo DNS užklausų.

Net jei IPT negali sekti jūsų naudodamas DNS, nes naudojate kitą viešą DNS teikėją, yra daug duomenų taškų, kuriuos IPT vis dar gali stebėti. Pavyzdžiui, Serverio pavadinimo indikacijos (SNI) laukai ir Prisijungimas prie sertifikato būsenos protokolo (OCSP) ir kt.

Jei norite daugiau privatumo, turėtumėte patikrinti kitas technologijas, tokias kaip DNS-over-TLS (DoT), DNSCurve, DNSCrypt ir kt.

DoH netaikomas HTTP užklausoms

Jei atidarote svetainę, kuri neveikia naudojant SSL, DoH serveris grįš prie senosios DNS technologijos (DNS-over-HTTP), dar žinomos kaip Do53.

Bet jei visur naudojate saugų bendravimą, „DoH“ tikrai yra geresnis nei naudojant senas ir nesaugias DNS technologijas.

Ne visi DNS serveriai palaiko DoH

Yra daug senų DNS serverių, kuriuos reikės atnaujinti, kad palaikytų DNS per HTTPS. Tai užtruks ilgai, kol bus priimtas plačiai.

Kol šio protokolo nepalaiko dauguma DNS serverių, dauguma vartotojų bus priversti naudotis didelių organizacijų siūlomais viešaisiais DNS serveriais.

Tai sukels daugiau privatumo problemų, nes dauguma DNS duomenų bus renkami keliose centralizuotose vietose visame pasaulyje.

Kitas ankstyvo „DoH“ diegimo trūkumas yra tas, kad jei pasaulinis DNS serveris sugenda, jis sugriauna daugumą vartotojų, naudojančių serverį vardams spręsti.

DoH bus galvos skausmas įmonėms

Nors „DoH“ pagerins saugumą, tai sukels galvos skausmą įmonėms ir organizacijoms, kurios stebi savo darbuotojų veiklą ir naudoja įrankius, skirtus blokuoti NSFW (nesaugias darbui) žiniatinklio dalis.

Tinklo ir sistemos administratoriams bus sunku susidoroti su naujuoju protokolu.

Ar naudojant DNS per HTTPS sulėtėja naršymas?

Tikrinant našumą pagal senąjį Do53 protokolą reikia atkreipti dėmesį į du DoH aspektus:

  1. Vardų skyros našumas
  2. Tinklalapio įkėlimo našumas

Vardų skyros našumas yra metrika, kurią naudojame apskaičiuodami laiką, per kurį DNS serveris mums suteikia norimą aplankyti svetainės serverio IP adresą.

Tinklalapio įkėlimo našumas yra tikroji metrika, rodanti, ar jaučiamės sulėtėję, kai naršome internete naudodami DNS per HTTPS protokolą.

Abu šiuos testus atliko „samknows“, o galutinis rezultatas yra tas, kad tarp DNS per HTTPS ir senų „Do53“ protokolų našumas skiriasi nežymiai.

Galite perskaityti užbaigti našumo atvejo tyrimą su statistika samknows .

Pateikiame kiekvienos aukščiau apibrėžtos metrikos suvestines lenteles. (Norėdami pamatyti didesnį vaizdą, spustelėkite paveikslėlį)

Pavadinimo skyros našumo testas DoH vs Do53 IPT našumo lentelė

DoH vs Do53 IPT našumo lentelė

Tinklalapio įkėlimo našumo testas „DoH vs Do53“ tinklalapio įkėlimo našumas

„DoH vs Do53“ tinklalapio įkėlimo našumas

Kaip įjungti arba išjungti „DNS-over-HTTPS“ sistemoje „Windows 10“

„Windows 10“ 2004 m. Versija pagal numatytuosius nustatymus bus įjungta naudojant DNS per HTTPS. Taigi išleidus kitą „Windows 10“ versiją ir atnaujinus į naujausią versiją, nebereikės rankiniu būdu įgalinti „DoH“.

Tačiau jei naudojate „Windows 10 Insider Preview“, turėsite rankiniu būdu įgalinti DoH naudodami šiuos metodus:

Naudojant „Windows“ registrą

  1. Eiti į Vykdyti -> regedit . Tai atidarys „Windows“ registro rengyklę.
  2. Atidarykite šį registro raktą:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
  3. Dešiniuoju pelės mygtuku spustelėkite Parametrai aplanką ir pasirinkite Nauja-> DWORD (32 bitų) Vertė.
  4. Pavadink EnableAutoDoh .
  5. Nustatykite „EnableAutoDoh“ įrašo vertę į 2 .

Kad pakeitimai įsigaliotų, turėsite iš naujo paleisti kompiuterį.

Atminkite, kad šis pakeitimas įsigalios tik tada, kai naudosite DNS serverius, palaikančius DNS per HTTPS. Žemiau rasite a DoH palaikančių viešųjų DNS teikėjų sąrašas .

Ankstesnės „Windows 10“ versijos, įskaitant 1909 ir 1903 versijas, pagal numatytuosius nustatymus nepalaiko „DoH“.

Grupės politikos naudojimas

Saugoju šį skyrių, kad galėčiau naudoti ateityje. Šiuo metu nėra DNS strategijos, skirtos HTTPS, grupės politikos taisyklių. Mes atliksime veiksmus, kai „Microsoft“ pateiks juos „Windows 10“ 2004 m.

„PowerShell“ (komandinė eilutė) naudojimas

Saugoju šį skyrių, kad galėčiau naudoti ateityje. Jei „Microsoft“ pateikia būdą, kaip įjungti arba išjungti DoH naudojant komandinę eilutę, čia nurodysime veiksmus.

Kaip įjungti arba išjungti DNS per HTTPS naršyklėse

Kai kurios programos palaiko apeinant sistemos sukonfigūruotą DNS serverį ir vietoj to naudoja DNS per HTTPS. Beveik visos šiuolaikinės naršyklės jau palaiko DoH arba artimiausiu metu palaikys protokolą.

„Google Chrome“ įgalinkite DNS per HTTPS

  1. Atidarykite „Google Chrome“ ir eikite į šį URL:
    chrome://settings/security
  2. Pagal Išplėstinė sauga , įjungti Naudokite saugų DNS .
  3. Įgalinus saugų DNS, bus dvi parinktys:
    • Su dabartiniu paslaugų teikėju
    • Su „Google“ rekomenduojamais paslaugų teikėjais

Galite pasirinkti tai, kas jums tinka. Antrasis variantas pakeis jūsų sistemos DNS nustatymus.

Įgalinkite saugų DNS „Google Chrome“

Norėdami išjungti DoH, tiesiog perjunkite Naudokite saugų DNS nustatymus į išjungtas .

Įgalinkite DNS per HTTPS „Mozilla Firefox“

  1. Atidarykite „Firefox“ ir eikite į šį URL:
    about:preferences
  2. Pagal bendras , eiti į Ryšio nustatymai ir spustelėkite ant Nustatymai mygtuką. Arba tiesiog paspauskite IR klaviatūros klavišą, kad atidarytumėte nustatymus.
  3. Slinkite į apačią ir patikrinti Įgalinti DNS per HTTPS .
  4. Išskleidžiamajame meniu galite pasirinkti pageidaujamą saugų DNS serverį.

„Microsoft Edge“ įgalinkite DNS per HTTPS

  1. Atidarykite „Microsoft Edge“ ir eikite į šį URL:
    edge://flags/#dns-over-https
  2. Pasirinkite Įjungtas iš išskleidžiamojo meniu šalia Saugios DNS paieškos .
  3. Iš naujo paleiskite naršyklę, kad pakeitimai įsigaliotų.

„Opera“ naršyklėje įgalinkite DNS per HTTPS

  1. Atidarykite „Opera“ naršyklę ir eikite į „Settings“ (Alt + P).
  2. Išplėsti Išplėstinė kairiajame meniu.
  3. Sistemoje, įjungti Naudokite DNS per HTTPS, o ne sistemos DNS nustatymus .
  4. Iš naujo paleiskite naršyklę, kad pakeitimai įsigaliotų.

Saugūs DNS nustatymai neįsigaliojo, kol neišjungiau „Opera“ integruotos VPN paslaugos. Jei kyla problemų įjungiant „DoH“ „Opera“, pabandykite išjungti VPN.

Įgalinkite DNS per HTTPS „Vivaldi“ naršyklėje

  1. Atidarykite „Vivaldi“ naršyklę ir eikite į šį URL:
    vivaldi://flags/#dns-over-https
  2. Pasirinkite Įjungtas iš išskleidžiamojo meniu šalia Saugios DNS paieškos .
  3. Iš naujo paleiskite naršyklę, kad pakeitimai įsigaliotų.

Kaip įjungti DNS per HTTPS „Android“

„Android 9 Pie“ palaiko „DoH“ nustatymus. Jei norite įgalinti „DoH“ savo „Android“ telefone, galite atlikti šiuos veiksmus:

  1. Eiti į Nustatymai → Tinklas ir internetas → Išplėstiniai → Privatus DNS .
  2. Galite nustatyti šią parinktį kaip Automatinis arba patys galite nurodyti saugų DNS teikėją.

Jei telefone nerandate šių nustatymų, galite atlikti šiuos veiksmus:

  1. Atsisiųskite ir atidarykite „QuickShortcutMaker“ programą iš „Google Play“ parduotuvės.
  2. Eikite į „Nustatymai“ ir bakstelėkite:
    com.android.settings.Settings$NetworkDashboardActivity

Tai pateks tiesiai į tinklo nustatymų puslapį, kuriame rasite saugaus DNS parinktį.

Kaip patikrinti, ar naudojate DNS per HTTPS?

Yra du būdai, kaip patikrinti, ar DoH tinkamai įjungtas jūsų įrenginyje ar naršyklėje.

Lengviausias būdas tai patikrinti yra eiti į šį „Cloudflare“ naršymo patirties tikrinimo puslapį . Spustelėkite Patikrinkite „Mano naršyklė“ mygtuką.

Skiltyje Saugus DNS gausite tokį pranešimą, jei naudojate „DoH“: | _+_ |

Jei nenaudojate „DoH“, gausite tokį pranešimą: | _+_ |

„Windows 10“ 2004 m. Versija taip pat suteikia galimybę stebėti 53 prievado paketus realiuoju laiku. Tai mums parodys, ar sistema naudoja DNS per HTTPS, ar seną „Do53“.

  1. Atidarykite „PowerShell“ su administratoriaus teisėmis.
  2. Vykdykite šias komandas:
    pktmon filter remove
    Taip pašalinami visi aktyvūs filtrai, jei tokių yra.
    pktmon filter add -p 53
    Tai prideda 53 prievadą, kuris turi būti stebimas ir registruojamas.
    pktmon start --etw -m real-time
    Tai prasideda 53 prievado stebėjimu realiuoju laiku.

Jei matote, kad sąraše rodomas didelis srautas, tai reiškia, kad vietoj DoH naudojamas senasis „Do53“.

Atminkite, kad aukščiau paminėtos komandos veiks tik „Windows 10“ 2004 m. Versijoje. Priešingu atveju gausite klaidą: Nežinomas parametras „realiu laiku“

Vardų serverių, palaikančių DoH, sąrašas

Čia yra DNS paslaugų teikėjų, palaikančių DNS per HTTPS, sąrašas.

Teikėjas Pagrindinio kompiuterio pavadinimas IP adresas
„AdGuard“dns.adguard.com176,103,130,132
176 103 130 130
„AdGuard“dns-family.adguard.com176,103,130,132
176 103 130 130
„CleanBrowsing“family-filter-dns.cleanbrowsing.org185 228 168 168
185 228 169 168
„CleanBrowsing“adult-filter-dns.cleanbrowsing.org185.228.168.10
185.228.169.11
„Cloudflare“vienas.vienas.vienas.vienas
1dot1dot1dot1.cloudflare-dns.com
1.1.1.1
1.0.0.1
„Cloudflare“security.cloudflare-dns.com1.1.1.2
1.0.0.2
„Cloudflare“family.cloudflare-dns.com1.1.1.3
1.0.0.3
„Google“dns.google
google-public-dns-a.google.com
google-public-dns-b.google.com
8.8.8.8
8.8.4.4
KitasDNSdns.nextdns.io45.90.28.0
45.90.30.0
„OpenDNS“dns.opendns.com208.67.222.222
208.67.220.220
„OpenDNS“familyshield.opendns.com208.67.222.123
208.67.220.123
„OpenDNS“sandbox.opendns.com208.67.222.2
208.67.220.2
Keturi 9dns.quad9.net
rpz-public-resolver1.rrdns.pch.net
9.9.9.9
149,112,112,112

Nors DNS per HTTPS daro žiniatinklį saugesnį ir turėtų būti vienodai įdiegtas visame žiniatinklyje (kaip HTTPS atveju), šis protokolas suteiks košmarų sistemos administratoriams.

Sistemos administratoriai turi rasti būdų, kaip užblokuoti viešąsias DNS paslaugas, kartu įgalindami savo DNS serverius naudoti DoH. Tai reikia padaryti, kad dabartinė stebėjimo įranga ir apribojimų politika būtų aktyvi visoje organizacijoje.

Jei ką nors praleidau straipsnyje, praneškite man toliau pateiktose pastabose. Jei jums patiko straipsnis ir sužinojote ką nors naujo, pasidalykite juo su draugais ir socialinėje žiniasklaidoje bei užsiprenumeruokite mūsų naujienlaiškį.