Гид по технологиям

DNS over HTTPS — что это, как включить и почему это важно

7 min read Безопасность Обновлено 30 Dec 2025
DNS over HTTPS: настройка и защита
DNS over HTTPS: настройка и защита

Зашифрованная бинарная графика

Что такое DNS и зачем он нужен

DNS — это система сопоставления доменных имён с IP‑адресами. Когда вы вводите в адресную строку браузера понятный домен вроде google.com, за кулисами отправляется запрос к DNS‑серверу, который возвращает числовой IP‑адрес, понятный устройствам. Без DNS вам бы пришлось запоминать длинные адреса вроде 172.217.1.174 (IPv4) или 2607:f8b0:400b:809::200e (IPv6).

Определение: DNS — ключевой сетевой сервис, который переводит доменные имена в IP‑адреса.

Важно: сам по себе DNS не шифрует запросы в классическом варианте. Обычные DNS‑запросы идут в открытом виде и могут быть считаны любым субъектом, имеющим доступ к трафику.

Проблема обычного DNS

Обычный DNS передаёт доменные имена и запросы в открытом виде. Это означает, что любой, кто имеет доступ к вашей сети или к магистральному трафику, может увидеть, какие сайты вы посещаете. К таким наблюдателям относятся провайдеры доступа в интернет (ISP), администраторы корпоративных сетей, государственные службы и злоумышленники в локальной Wi‑Fi сети.

Пример: на захвате трафика WireShark видно доменное имя makeuseof.com в открытом виде:

Захват DNS запросов в WireShark

Подпись: Захват DNS‑запросов показывает домены в открытом виде, если не используется шифрование.

Как DoH решает эту проблему

DNS over HTTPS помещает DNS‑запросы внутрь защищённого HTTPS‑соединения. То есть DNS‑трафик шифруется так же, как и содержимое веб‑страниц, которые вы посещаете. Перехватчик увидит только зашифрованные байты и IP‑адрес сервера DoH, но не конкретные домены, передаваемые в запросах.

На примере захвата видно, что браузер общается с IPv6‑адресом сервиса Cloudflare, а содержимое запросов шифруется и выглядит как случайные данные:

Зашифрованные DNS запросы в WireShark

Подпись: Для внешнего наблюдателя DoH‑запросы выглядят как обычный HTTPS‑трафик.

Как включить DoH в браузерах

Реализация DoH пока различается между браузерами. Некоторые пользователи уже получают DoH по умолчанию. Ниже — пошаговые инструкции для трёх основных браузеров.

Включение DoH в Google Chrome

  1. Откройте Chrome.
  2. Нажмите три вертикальные точки в правом верхнем углу и выберите Settings.
  3. В настройках найдите раздел Privacy and security.
  4. Нажмите Security.
  5. Прокрутите к разделу Advanced.
  6. Включите опцию Use secure DNS.
  7. Оставьте выбранным радиобаттон With your current service provider, чтобы использовать текущего провайдера, либо выберите другой из списка.

Настройки DNS over HTTPS в Chrome

Примечание: на текущий момент многие DNS‑провайдеры не поддерживают DoH. Не полагайтесь на провайдера по умолчанию, если вы не уверены, что он поддерживает DoH.

Включение DoH в Mozilla Firefox

  1. Откройте Firefox.
  2. Нажмите иконку с тремя линиями (гамбургер) в правом верхнем углу и выберите Options.
  3. Прокрутите страницу вниз до раздела Network Settings.
  4. Нажмите Settings в этом разделе.
  5. В открывшемся окне поставьте галочку Enable DNS over HTTPS.
  6. В поле Use Provider выберите поставщика или переключитесь на Custom, чтобы указать свой сервер.
  7. Нажмите OK для сохранения.

Настройки DNS over HTTPS в Firefox

Включение DoH в Microsoft Edge

  1. Откройте Microsoft Edge.
  2. Нажмите три точки в правом верхнем углу и выберите Settings.
  3. В меню слева выберите Privacy, search, and services.
  4. Прокрутите до раздела Security.
  5. Оставьте выбранным Use current service provider, чтобы использовать системного провайдера, или нажмите Choose a service provider для выбора другого.

Настройки DNS over HTTPS в Edge

Какого провайдера выбирать

Наиболее популярны Google и Cloudflare. Если вы хотите альтернативы, ищите список поддерживающих DoH провайдеров и проверьте политику логирования и приватности каждого из них. При выборе ориентируйтесь на принципы: прозрачность, отсутствие ведения логов (no‑logs), юрисдикция и дополнительные функции безопасности.

Почему DoH вызывает споры

DoH повышает приватность пользователей, но затрудняет администрирование сети. Инструменты защиты — например, корпоративные фильтры, системы обнаружения угроз и родительский контроль — часто полагаются на видимость DNS‑трафика. Когда DNS шифруется и уходит на внешний DoH‑сервер, эти инструменты теряют видимость запросов.

Производители браузеров и провайдеры DoH предлагают различные методы совместимости. Например, организации могут централизованно отключать DoH или настраивать браузеры так, чтобы они использовали управляющие серверы внутри сети.

Ограничения и недостатки DoH

Рука кибербезопасности

Подпись: DoH не панацея. У технологии есть ограничения, которые важно понимать.

DoH не скрывает всё

  • IP‑адреса остаются открытыми. Сетевые маршруты и IP‑адрес сервера, с которым вы общаетесь, видны.
  • Server Name Indication (SNI), часть установления TLS‑соединения, может передавать имя хоста в открытом виде. Разработка Encrypted Client Hello (ECH) призвана исправить это, но поддержка пока не повсеместна.

Если вам требуется более высокий уровень приватности, комбинируйте DoH с VPN или Tor.

Переход на незашифрованный DNS при ошибках

Некоторые реализации DoH делают «фолбэк» на системный DNS, если внешний DoH‑сервер не ответил. В Chrome, например, при неразрешимой записи браузер может вернуться к системному DNS. Для пользователей это означает потенциальную утечку доменов в открытом виде.

Административные и юридические нюансы

В корпоративной среде или в юрисдикциях с требованиями слежения может потребоваться контролируемый DNS. DoH меняет модель ответственности и требует обновления политик безопасности.

Альтернативные и дополняющие методы приватности

  • VPN: шифрует весь трафик и скрывает ваш локальный IP‑адрес от внешних наблюдателей. Минусы: вы доверяете провайдеру VPN и часто платите за услугу.
  • Tor: маршрутизация через распределённую сеть узлов. Превосходит в приватности, но медленнее и может блокироваться некоторыми сервисами.
  • DNS over TLS (DoT): похож по эффекту на DoH, но использует отдельное TLS‑соединение и чаще применяется на уровне системы или маршрутизатора.

Рекомендация: для большинства пользователей включение DoH в браузере — это быстрый и полезный шаг. Для чувствительных задач сочетайте DoH с VPN или Tor.

Как проверить, что DoH работает

Мини‑методика:

  1. Включите DoH в браузере согласно инструкции выше.
  2. Откройте инструменты разработчика браузера и в разделе Network убедитесь, что DNS‑запросы не видны отдельно. Некоторые браузеры показывают, что DNS разрешался через DoH.
  3. Используйте онлайн‑инструменты проверки утечек DNS или посетите сайты, которые определяют, используется ли шифрование DNS.
  4. В WireShark вы должны видеть HTTPS‑соединение к IP‑адресу поставщика DoH, но не читаемые DNS‑запросы.

Важно: разные инструменты и реализации показывают разные уровни информации. Проверяйте с нескольких источников.

Чеклист для ролей

Для обычного пользователя:

  • Включить DoH в браузере.
  • Выбрать надёжного DoH‑провайдера.
  • Подключать VPN при необходимости дополнительной анонимности.
  • Проверять настройки после обновлений браузера.

Для администратора сети:

  • Обновить политики безопасности с учётом DoH.
  • Рассмотреть возможность централизованного управления настройками браузеров.
  • Обеспечить альтернативные методы мониторинга и фильтрации трафика.

Для специалиста по безопасности:

  • Оценить влияние DoH на S SOAR/IDS/IPS.
  • Документировать случаи, когда фолбэк на системный DNS недопустим.
  • Тестировать совместимость DoH с корпоративными решениями.

Юридические и приватные замечания

DoH не отменяет требования локальных законов о хранении данных и сотрудничестве с правоохранительными органами. При выборе провайдера учитывайте юрисдикцию и политику логирования. Если на вашей организации лежит обязанность вести журнал доступа, внедрение DoH потребует пересмотра архитектуры и процедур.

Быстрые советы по усилению безопасности

  • Используйте проверенные DoH‑провайдеры с прозрачной политикой конфиденциальности.
  • Обновляйте браузер и систему для получения последних исправлений, связанных с ECH и SNI.
  • Проводите тесты на утечки DNS после изменений в конфигурации.

Краткое резюме

DNS over HTTPS — важное дополнение к современным инструментам приватности. Оно шифрует DNS‑запросы и делает вашу историю посещений менее доступной для посторонних. Однако DoH не решает всех проблем: остаются видимыми IP‑адреса и некоторые метаданные, а фолбэк на системный DNS может привести к утечкам. Для максимальной конфиденциальности применяйте комбинированный подход: DoH + VPN или Tor, и адаптируйте сетевые политики в организациях.

Важно: DoH — развивающаяся технология. Следите за обновлениями стандартов, поддержкой ECH и изменениями в политиках поставщиков.

Ключевые выводы:

  • DoH шифрует DNS‑запросы, повышая приватность.
  • Не скрывает IP‑адреса и часть TLS‑метаданных.
  • Может конфликтовать с корпоративным мониторингом.
  • Лучше использовать в сочетании с VPN или Tor при повышенной потребности в анонимности.

1‑строчный глоссарий:

  • DNS — система доменных имён, переводящая имена в IP.
  • DoH — DNS over HTTPS, шифрование DNS через HTTPS.
  • DoT — DNS over TLS, альтернатива DoH.
  • SNI — Server Name Indication, часть TLS, указывающая имя хоста.
  • ECH — Encrypted Client Hello, технология для шифрования SNI.
Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Защитить Plex-сервер через Raspberry Pi и HTTPS
Безопасность

Защитить Plex-сервер через Raspberry Pi и HTTPS

Чёткие контурные линии в Procreate
Procreate

Чёткие контурные линии в Procreate

CSS Modules в React — локальные стили без конфликтов
Frontend

CSS Modules в React — локальные стили без конфликтов

Создать ISO из папки в Windows через CMD
Windows

Создать ISO из папки в Windows через CMD

Как сделать снимок экрана на ноутбуке
How-to

Как сделать снимок экрана на ноутбуке

Как настроить и использовать Apple Pay на Mac
Mac

Как настроить и использовать Apple Pay на Mac