Чи робить DoH мій перегляд веб-сторінок повністю анонімним?

Ні. DoH шифрує лише ваші DNS-запити — тобто приховує від спостерігачів, які доменні імена ви шукаєте. Він не приховує вашу IP-адресу та не шифрує ваш загальний інтернет-трафік. Для ширшої анонімності та конфіденційності вам усе одно потрібен VPN.

Чи можу я використовувати DoH та VPN одночасно?

Так, і в багатьох випадках це корисно. Якщо ваш VPN підтримує DoH або має вбудований захист від витоків DNS, додаткове налаштування може не знадобитися. Однак якщо ваш VPN-з'єднання раптово переривається, увімкнений DoH на рівні браузера або операційної системи може запобігти витоку DNS-запитів за межі тунелю.

Чи є DoH вбудованим у популярні браузери та операційні системи?

Так. Firefox, Chrome та Edge підтримують DoH і дозволяють увімкнути його в налаштуваннях. Windows 11 і Android також мають вбудовану підтримку DoH на рівні операційної системи, що означає, що він може захищати DNS-трафік з усіх додатків, а не лише з браузера.

У чому різниця між DoH та DNS over TLS (DoT)?

Обидва протоколи шифрують DNS-запити, але роблять це по-різному. DoT використовує виділений порт 853, який легко розпізнати та заблокувати. DoH надсилає запити через стандартний порт HTTPS 443, де вони зливаються зі звичайним веб-трафіком. Це робить DoH складнішим для блокування, але також ускладнює мережевим адміністраторам контроль над DNS-трафіком у корпоративному або освітньому середовищі.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): що це таке і чому це важливо

Щоразу, коли ви вводите адресу веб-сайту у браузер, ваш пристрій надсилає запит: «Яка IP-адреса цього домену?» Цей запит називається DNS-запитом, і десятиліттями він передавався через інтернет у відкритому вигляді — повністю доступний для будь-кого, хто спостерігає за мережею. DNS over HTTPS (DoH) був створений саме для того, щоб це виправити.

Що це таке

DNS over HTTPS — це протокол, який загортає ваші DNS-запити в зашифрований HTTPS-трафік — той самий тип шифрування, що використовується, коли ви входите до свого банківського акаунту або робите покупки онлайн. Замість того щоб DNS-запити надсилалися у відкритому вигляді, вони упаковуються в захищені HTTPS-з'єднання та передаються до DoH-сумісного DNS-резолвера. Для сторонніх спостерігачів цей трафік виглядає як звичайний веб-перегляд.

DoH був стандартизований Інженерною радою Інтернету (IETF) у RFC 8484 у 2018 році та відтоді інтегрований у провідні браузери, такі як Firefox, Chrome та Edge, а також в операційні системи, зокрема Windows 11 та Android.

Як це працює

Ось базова схема роботи:

Ви вводите `example.com` у браузер.
Замість того щоб надсилати незашифрований UDP-запит до DNS-сервера вашого інтернет-провайдера через порт 53, ваш пристрій надсилає зашифрований HTTPS-запит до DoH-резолвера (наприклад, `1.1.1.1` від Cloudflare або `8.8.8.8` від Google) через порт 443.
Резолвер знаходить IP-адресу та надсилає відповідь назад — також у зашифрованому вигляді через HTTPS.
Ваш браузер підключається до веб-сайту.

Оскільки запит використовує порт 443 (стандартний порт HTTPS), він зливається із звичайним веб-трафіком. Пасивний спостерігач у вашій мережі — будь то інтернет-провайдер, мережевий адміністратор або хтось, хто керує підробленою точкою доступу Wi-Fi — не може легко відрізнити ваші DNS-запити від будь-якого іншого HTTPS-трафіку.

Чому це важливо для користувачів VPN

Ви можете запитати: якщо я вже використовую VPN, чи потрібен мені DoH? Це слушне запитання, і відповідь залежить від вашого налаштування.

Без VPN DoH є суттєвим покращенням конфіденційності. Ваш інтернет-провайдер більше не може легко записувати кожен домен, який ви відвідуєте. Це особливо актуально, зважаючи на те, що в багатьох країнах інтернет-провайдерам дозволено — або навіть зобов'язано — збирати та продавати дані про перегляд сторінок.

З VPN ваші DNS-запити вже мають маршрутизуватися через VPN-тунель і оброблятися власними DNS-серверами VPN-провайдера. Однак якщо VPN-з'єднання переривається або налаштоване неправильно, може виникнути витік DNS — ваш пристрій повертається до надсилання DNS-запитів поза тунелем, розкриваючи вашу активність. Використання DoH разом із VPN (або вибір VPN, який реалізує DoH внутрішньо) додає додатковий рівень захисту від таких витоків.

Варто також зазначити, що DoH сам по собі не є заміною VPN. DoH шифрує лише етап пошуку домену. Ваша реальна IP-адреса залишається видимою для веб-сайтів, які ви відвідуєте, а ваш інтернет-провайдер все одно може бачити, до яких IP-адрес ви підключаєтесь — просто не обов'язково, які доменні імена ініціювали ці з'єднання.

Практичні приклади та випадки використання

Публічний Wi-Fi: при підключенні до мережі у кафе або аеропорту DoH не дозволяє оператору мережі записувати ваші DNS-запити або перенаправляти їх на підроблений сервер.
Обхід базової цензури: деякі інтернет-провайдери блокують веб-сайти, перехоплюючи DNS-запити. DoH може обходити блокування на рівні DNS, оскільки запити зашифровані та надсилаються до зовнішнього резолвера. (Зауважте: рішучі цензори все одно можуть блокувати DoH-резолвери за IP-адресою.)
Захист на рівні браузера: Firefox і Chrome дозволяють увімкнути DoH безпосередньо в налаштуваннях, забезпечуючи зашифрований DNS навіть тоді, коли ви не використовуєте VPN.
Корпоративне середовище: мережеві адміністратори часто дискутують щодо DoH, оскільки він може обходити внутрішні засоби контролю DNS. Багато організацій налаштовують DoH таким чином, щоб він маршрутизувався через затверджені внутрішні резолвери, а не через публічні.

DoH проти DoT

DoH часто порівнюють із DNS over TLS (DoT) — ще одним протоколом шифрування DNS. Обидва шифрують DNS-трафік, але DoT використовує виділений порт (853), який мережеві адміністратори можуть легко ідентифікувати та заблокувати. DoH зливається зі звичайним HTTPS-трафіком, що ускладнює його блокування — це одночасно його перевага з точки зору конфіденційності та предмет занепокоєння з точки зору контролю мережі.

DNS over HTTPS (DoH)Середній