Чим DNS over TLS (DoT) відрізняється від DNS over HTTPS (DoH)?

Обидва протоколи шифрують DNS-запити, але роблять це по-різному. DoT використовує виділений порт 853, що робить його легко ідентифікованим і, за потреби, блокованим адміністраторами мережі. DoH передає DNS-трафік через порт 443 разом зі звичайним HTTPS-трафіком, що робить його значно важчим для блокування. DoH зазвичай вважається кращим варіантом для обходу цензури, тоді як DoT частіше використовується в керованих корпоративних або домашніх мережах.

Чи потрібен DoT, якщо я вже використовую VPN?

Не обов'язково, але в деяких випадках це може бути корисним. Правильно налаштований VPN вже шифрує ваші DNS-запити. Однак якщо ваш VPN-клієнт допускає DNS-витоки — тобто DNS-запити надсилаються поза тунелем — DoT може забезпечити додатковий захист. Він також корисний у тих випадках, коли ви не використовуєте VPN, наприклад у публічних Wi-Fi-мережах або при роботі з мобільними даними.

Як увімкнути DoT на своєму пристрої?

Це залежить від пристрою. На Android 9 і новіших версіях перейдіть до «Налаштування» → «Мережа та інтернет» → «Приватний DNS» і введіть адресу хосту DNS-резолвера з підтримкою DoT, наприклад `1dot1dot1dot1.cloudflare-dns.com`. На iOS та macOS зазвичай потрібен конфігураційний профіль або сторонній застосунок. На рівні маршрутизатора необхідно налаштувати прошивку для перенаправлення DNS-запитів через DoT-сумісний резолвер.

Чи сповільнює DoT швидкість інтернету?

Незначно. DoT вимагає встановлення TLS-з'єднання перед відправкою DNS-запитів, що додає невелику затримку, особливо під час першого підключення. Однак більшість сучасних реалізацій використовують постійні з'єднання та кешування, що мінімізує цей вплив. У повсякденному використанні різниця в продуктивності, як правило, непомітна.

DNS over TLS (DoT)

DNS over TLS (DoT): Конфіденційність ваших доменних запитів

Щоразу, коли ви вводите адресу вебсайту у браузер, ваш пристрій надсилає DNS-запит — по суті запитуючи сервер: «Яка IP-адреса цього домену?» Традиційно ці запити передаються інтернетом у відкритому вигляді, тобто ваш інтернет-провайдер, мережеві адміністратори або будь-хто, хто відстежує ваше з'єднання, може точно бачити, які вебсайти ви намагаєтесь відвідати. DNS over TLS, який зазвичай скорочують як DoT, був розроблений саме для вирішення цієї проблеми.

Що це таке

DNS over TLS — це мережевий протокол, який загортає ваші DNS-запити у зашифроване з'єднання TLS (Transport Layer Security) — ту саму технологію, що захищає ваш банківський вебсайт або вхід до електронної пошти. Замість того щоб надсилати запити «де знаходиться цей вебсайт?» у відкритому вигляді, DoT забезпечує їх шифрування ще до того, як вони покинуть ваш пристрій. Протокол був офіційно стандартизований у 2016 році відповідно до RFC 7858 і відтоді прийнятий великими DNS-резолверами, зокрема Cloudflare (1.1.1.1), Google (8.8.8.8) та іншими.

Як це працює

Зазвичай DNS-трафік передається через порт 53 і використовує UDP або TCP без будь-якого шифрування. DoT змінює це, встановлюючи виділене TLS-з'єднання через порт 853. Ось базова схема роботи:

Ваш пристрій (або DNS-резолвер) ініціює TLS-рукостискання з DNS-сервером, перевіряючи його ідентичність за допомогою цифрових сертифікатів.
Після встановлення зашифрованого тунелю ваш DNS-запит передається через нього — повністю прихований від сторонніх спостерігачів.
DNS-сервер обробляє запит і надсилає відповідь назад через той самий зашифрований канал.
Ваш пристрій використовує отриману IP-адресу для підключення до вебсайту.

Оскільки DoT працює на виділеному порті (853), мережеві адміністратори та міжмережеві екрани можуть легко ідентифікувати DoT-трафік і, за бажанням, заблокувати його. Це одна з ключових відмінностей від його близького аналога — DNS over HTTPS (DoH), який змішує DNS-трафік зі звичайним вебтрафіком на порті 443 і значно важче піддається блокуванню.

Чому це важливо для користувачів VPN

Ви можете запитати: якщо я вже використовую VPN, чи потрібно мені турбуватися про DoT? Це справедливе запитання. VPN шифрує весь ваш трафік, включно з DNS-запитами, якщо налаштований правильно. Однак тут є кілька важливих нюансів:

DNS-витоки: якщо VPN-клієнт налаштований неправильно, DNS-запити іноді можуть обходити зашифрований VPN-тунель і надходити безпосередньо до резолвера вашого провайдера у відкритому вигляді. DNS-витік може розкрити вашу активність у мережі навіть тоді, коли ви вважаєте себе захищеним. DoT забезпечує додатковий рівень шифрування, що допомагає від цього захиститися.
Середовища без VPN: не всі використовують VPN постійно. У відкритих Wi-Fi-мережах, на роботі або при використанні мобільних даних DoT захищає ваші DNS-запити незалежно від VPN.
Стеження провайдера та обмеження швидкості: без зашифрованого DNS ваш інтернет-провайдер може фіксувати кожен домен, який ви відвідуєте, і потенційно продавати ці метадані або використовувати їх для обмеження швидкості окремих сервісів. DoT не дозволяє йому читати ці запити.

Практичні приклади та випадки використання

Безпека домашньої мережі: налаштування маршрутизатора або локального DNS-резолвера для використання DoT (з перенаправленням на орієнтований на конфіденційність резолвер, як-от Cloudflare або Quad9) означає, що кожен пристрій у вашій мережі отримує вигоду від зашифрованих DNS-запитів — без необхідності встановлювати щось додаткове на кожен пристрій окремо.

Конфіденційність на мобільних пристроях: Android 9 і новіші версії містять вбудовану функцію «Приватний DNS», що підтримує DoT нативно. Ви можете ввімкнути її в налаштуваннях і спрямовувати всі DNS-запити через зашифрований резолвер без жодних сторонніх застосунків.

Корпоративні мережі: ІТ-команди використовують DoT, щоб запобігти перехопленню внутрішніх DNS-запитів співробітниками або зловмисниками в мережі, знижуючи ризик підробки DNS або атак типу «людина посередині».

Журналісти та активісти: у регіонах із посиленим інтернет-моніторингом шифрування DNS-запитів додає суттєвий рівень конфіденційності, ускладнюючи системам стеження можливість відтворити картину онлайн-поведінки на основі лише DNS-трафіку.

DoT сам по собі не є повноцінним рішенням для забезпечення конфіденційності — ваш реальний вебтрафік усе одно потребує HTTPS або VPN для повного захисту — але він закриває часто недооцінену прогалину в повсякденній інтернет-безпеці.

DNS over TLS (DoT)Середній

DNS over TLS (DoT): Конфіденційність ваших доменних запитів

Що це таке

Як це працює

Чому це важливо для користувачів VPN

Практичні приклади та випадки використання

// FAQ