Различен ли е DoH от обичайния DNS?

Да. Стандартният DNS изпраща заявки в обикновен текст, обикновено чрез UDP на порт 53, което ги прави видими за всеки, наблюдаващ мрежата. DoH криптира същите тези заявки вътре в HTTPS трафика и ги изпраща на порт 443, така че да изглеждат като обикновено сърфиране в интернет.

Прави ли DoH VPN ненужен?

Не. DoH криптира само DNS заявките — търсенето на домейни. Не скрива вашия IP адрес, не криптира останалия ви интернет трафик и не предпазва поверителността ви по начина, по който го прави VPN. Двете технологии се допълват, а не се заместват взаимно.

Мога ли да използвам DoH и VPN едновременно?

Да и в много случаи това е препоръчително. Ако вашият VPN прекъсне, DoH може да попречи на DNS заявките ви да бъдат изпратени в обикновен текст. Някои VPN доставчици вграждат DoH в собствените си DNS системи, осигурявайки допълнителна защита срещу DNS течове.

Активиран ли е DoH по подразбиране?

Зависи от браузъра и операционната система ви. Firefox активира DoH по подразбиране в някои региони. Chrome и Edge предлагат DoH, когато DNS доставчикът ви го поддържа. Windows 11 позволява DoH в мрежовите настройки, но обикновено не е активиран автоматично. Препоръчително е да проверите настройките си, за да потвърдите дали DoH е включен.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): Какво представлява и защо е важен

Всеки път, когато въведете адрес на уебсайт в браузъра си, устройството ви изпраща запитване: „Какъв е IP адресът на този домейн?" Това запитване се нарича DNS заявка и в продължение на десетилетия пътуваше из интернет в обикновен текст — напълно видимо за всеки, който наблюдава мрежата. DNS over HTTPS (DoH) е създаден именно за да реши този проблем.

Какво представлява

DNS over HTTPS е протокол, който обвива вашите DNS заявки в криптиран HTTPS трафик — същия тип криптиране, използвано когато влизате в банката си онлайн или пазарувате в интернет. Вместо DNS заявките ви да се изпращат открито, те се опаковат в защитени HTTPS връзки и се изпращат до DNS резолвър, съвместим с DoH. За външни наблюдатели трафикът изглежда като обикновено сърфиране в интернет.

DoH е стандартизиран от Инженерната работна група по интернет (IETF) в RFC 8484 през 2018 г. и оттогава е интегриран в основни браузъри като Firefox, Chrome и Edge, както и в операционни системи като Windows 11 и Android.

Как работи

Ето основният процес:

Въвеждате `example.com` в браузъра си.
Вместо да изпраща обикновена UDP заявка до DNS сървъра на вашия интернет доставчик на порт 53, устройството ви изпраща криптирана HTTPS заявка до DoH резолвър (като `1.1.1.1` на Cloudflare или `8.8.8.8` на Google) на порт 443.
Резолвърът търси IP адреса и изпраща отговора обратно — все още криптиран чрез HTTPS.
Браузърът ви се свързва с уебсайта.

Тъй като заявката използва порт 443 (стандартният HTTPS порт), тя се слива с нормалния уеб трафик. Пасивен наблюдател в мрежата ви — независимо дали е вашият интернет доставчик, мрежов администратор или някой, управляващ неоторизирана Wi-Fi точка за достъп — не може лесно да различи вашите DNS справки от всякакъв друг HTTPS трафик.

Защо е важен за потребителите на VPN

Може би се питате: ако вече използвам VPN, имам ли нужда от DoH? Това е резонен въпрос и отговорът зависи от конфигурацията ви.

Без VPN, DoH представлява значително подобрение за поверителността. Вашият интернет доставчик вече не може лесно да регистрира всеки домейн, който посещавате. Това е особено актуално, като се има предвид, че в много страни интернет доставчиците имат право — или дори задължение — да събират и продават данни за сърфиране.

С VPN, вашите DNS заявки вече трябва да се маршрутизират през VPN тунела и да се обработват от собствените DNS сървъри на VPN доставчика. Въпреки това, ако VPN връзката ви прекъсне или е неправилно конфигурирана, може да възникне DNS течове — устройството ви се връща към изпращане на DNS заявки извън тунела, разкривайки активността ви. Използването на DoH заедно с VPN (или избирането на VPN, който имплементира DoH вътрешно) добавя допълнителен слой защита срещу такива течове.

Струва си да се отбележи и, че DoH сам по себе си не е заместител на VPN. DoH криптира само фазата на търсене на домейна. Вашият действителен IP адрес остава видим за уебсайтовете, които посещавате, а интернет доставчикът ви все още може да вижда към кои IP адреси се свързвате — просто не непременно кои имена на домейни са предизвикали тези връзки.

Практически примери и случаи на употреба

Публичен Wi-Fi: При свързване към мрежа в кафене или летище, DoH предотвратява оператора на мрежата да регистрира вашите DNS заявки или да ги пренасочва към манипулиран сървър.
Заобикаляне на основна цензура: Някои интернет доставчици блокират уебсайтове, като прихващат DNS заявки. DoH може да заобиколи блокировките на DNS ниво, защото заявките са криптирани и изпратени до външен резолвър. (Забележка: решителните цензори все пак могат да блокират DoH резолвъри по IP адрес.)
Защита на ниво браузър: Firefox и Chrome ви позволяват да активирате DoH директно в настройките, предоставяйки криптиран DNS дори когато не използвате VPN.
Корпоративни среди: Мрежовите администратори често дискутират DoH, тъй като може да заобиколи вътрешните DNS контроли. Много организации конфигурират DoH да се маршрутизира през одобрени вътрешни резолвъри, вместо публични.

DoH срещу DoT

DoH често се сравнява с DNS over TLS (DoT) — друг протокол за криптиране на DNS. И двата криптират DNS трафика, но DoT използва специален порт (853), който мрежовите администратори лесно могат да идентифицират и филтрират. DoH се слива с обичайния HTTPS трафик, което го прави по-трудно за блокиране — което е едновременно негово предимство за поверителността и повод за притеснение по отношение на мрежовия контрол.

DNS over HTTPS (DoH)Среден