Делает ли DoH мой браузинг полностью анонимным?

Нет. DoH шифрует только DNS-запросы, то есть скрывает, какие доменные имена вы запрашиваете. Он не скрывает ваш IP-адрес от посещаемых сайтов и не шифрует сам веб-трафик. Для более полной анонимности вам потребуется VPN в сочетании с DoH.

Могу ли я использовать DoH и VPN одновременно?

Да, и во многих случаях это разумный подход. Большинство надёжных VPN-сервисов самостоятельно обрабатывают DNS-запросы внутри туннеля, однако добавление DoH обеспечивает дополнительную защиту на случай утечки DNS при разрыве VPN-соединения. Некоторые VPN-провайдеры уже встроили поддержку DoH в свои клиенты.

Замедляет ли DoH скорость интернета?

Как правило, разница в скорости минимальна. DoH добавляет незначительную задержку по сравнению с обычными DNS-запросами из-за накладных расходов на шифрование HTTPS. Однако современные DoH-резолверы, такие как `1.1.1.1` от Cloudflare, оптимизированы для высокой производительности, поэтому большинство пользователей не замечают ощутимой разницы.

Включён ли DoH по умолчанию в браузерах?

Это зависит от браузера и региона. Firefox включил DoH по умолчанию для пользователей в США ещё в 2020 году, а Chrome и Edge предлагают его в рамках функции «Безопасный DNS», которая активируется при обнаружении совместимого резолвера. Во многих случаях DoH можно вручную включить в настройках браузера, даже если он не активирован по умолчанию.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): что это такое и почему это важно

Каждый раз, когда вы вводите адрес сайта в браузер, ваше устройство отправляет запрос: «Какой IP-адрес у этого домена?» Такой запрос называется DNS-запросом, и на протяжении десятилетий он передавался через интернет в открытом виде — полностью доступный для всех, кто наблюдает за сетью. Протокол DNS over HTTPS (DoH) был создан именно для решения этой проблемы.

Что это такое

DNS over HTTPS — это протокол, который оборачивает ваши DNS-запросы в зашифрованный HTTPS-трафик — тот же тип шифрования, который используется при входе в онлайн-банк или совершении покупок в интернете. Вместо того чтобы передаваться в открытом виде, DNS-запросы упаковываются в защищённые HTTPS-соединения и направляются к DoH-совместимому DNS-резолверу. Для сторонних наблюдателей такой трафик выглядит как обычный веб-серфинг.

Протокол DoH был стандартизирован организацией Internet Engineering Task Force (IETF) в документе RFC 8484 в 2018 году и с тех пор встроен в крупнейшие браузеры — Firefox, Chrome и Edge, — а также в операционные системы Windows 11 и Android.

Как это работает

Вот как выглядит базовый процесс:

Вы вводите `example.com` в браузер.
Вместо того чтобы отправлять незашифрованный UDP-запрос на DNS-сервер вашего провайдера через порт 53, ваше устройство отправляет зашифрованный HTTPS-запрос к DoH-резолверу (например, `1.1.1.1` от Cloudflare или `8.8.8.8` от Google) через порт 443.
Резолвер находит IP-адрес и возвращает ответ — по-прежнему в зашифрованном виде через HTTPS.
Браузер устанавливает соединение с сайтом.

Поскольку запрос использует порт 443 (стандартный порт HTTPS), он сливается с обычным веб-трафиком. Пассивный наблюдатель в вашей сети — будь то интернет-провайдер, сетевой администратор или злоумышленник, создавший поддельную точку доступа Wi-Fi, — не может легко отличить ваши DNS-запросы от любого другого HTTPS-трафика.

Почему это важно для пользователей VPN

Вы можете задаться вопросом: если я уже использую VPN, нужен ли мне DoH? Вопрос справедливый, и ответ зависит от вашей конфигурации.

Без VPN DoH является значительным улучшением с точки зрения конфиденциальности. Ваш интернет-провайдер больше не сможет легко фиксировать каждый домен, который вы посещаете. Это особенно актуально, учитывая, что во многих странах провайдерам разрешено — а порой и предписано — собирать и продавать данные о просмотрах.

При использовании VPN ваши DNS-запросы уже должны направляться через VPN-туннель и обрабатываться собственными DNS-серверами провайдера. Однако если VPN-соединение обрывается или настроено неправильно, может возникнуть утечка DNS: устройство начинает отправлять DNS-запросы в обход туннеля, раскрывая вашу активность. Использование DoH совместно с VPN (или выбор VPN-провайдера, который реализует DoH внутри сервиса) добавляет дополнительный уровень защиты от подобных утечек.

Также важно понимать, что DoH сам по себе не является заменой VPN. DoH шифрует только этап поиска домена. Ваш реальный IP-адрес по-прежнему остаётся виден посещаемым сайтам, а интернет-провайдер всё равно может видеть, к каким IP-адресам вы подключаетесь — просто не обязательно то, какие доменные имена инициировали эти подключения.

Практические примеры и сценарии использования

Публичный Wi-Fi: при подключении к сети в кафе или аэропорту DoH не позволяет оператору сети фиксировать ваши DNS-запросы или перенаправлять их на подменённый сервер.
Обход базовой цензуры: некоторые интернет-провайдеры блокируют сайты, перехватывая DNS-запросы. DoH позволяет обходить блокировки на уровне DNS, поскольку запросы шифруются и отправляются на внешний резолвер. (Примечание: при желании цензоры всё равно могут заблокировать DoH-резолверы по IP-адресу.)
Защита на уровне браузера: Firefox и Chrome позволяют включить DoH прямо в настройках, обеспечивая зашифрованные DNS-запросы даже без VPN.
Корпоративные среды: сетевые администраторы нередко спорят о DoH, поскольку он может обходить внутренние средства контроля DNS. Многие организации настраивают DoH таким образом, чтобы трафик направлялся через утверждённые внутренние резолверы, а не через публичные.

DoH и DoT

DoH часто сравнивают с DNS over TLS (DoT) — ещё одним протоколом шифрования DNS. Оба протокола шифруют DNS-трафик, однако DoT использует выделенный порт (853), который сетевые администраторы могут легко идентифицировать и заблокировать. DoH растворяется в обычном HTTPS-трафике, что делает его сложнее для блокировки — это одновременно его преимущество с точки зрения конфиденциальности и повод для беспокойства в контексте управления сетью.

DNS over HTTPS (DoH)Средний