Шифрованный DNS объяснён: что на самом деле скрывают DoH и DoT — и почему DNS вашего VPN важен

Шифрованный DNS объяснён: что на самом деле скрывают DoH и DoT — и почему DNS вашего VPN важен
Каждый раз, когда вы посещаете веб-сайт, ваше устройство выполняет тихий запрос, о котором большинство людей никогда не задумывается: оно спрашивает «какой IP-адрес у этого доменного имени?» Это DNS — телефонная книга интернета — и на протяжении большей части истории веба этот вопрос и его ответ передавались в открытом виде, доступные для чтения любому между вами и вашим DNS-сервером. Шифрованный DNS исправляет это. Это руководство объясняет, как он работает, что именно защищает, что оставляет открытым и как связан с VPN, который вы, возможно, уже используете.
Почему DNS в открытом виде — это проблема конфиденциальности
Когда вы подключаетесь к сайту через HTTPS, содержимое вашего сеанса зашифровано. Но DNS-запрос, который происходит первым, обычно нет. Ваш интернет-провайдер — или кто-либо в той же сети — может наблюдать за этими запросами и составить полный список доменов, которые вы посещаете, даже если не может прочитать сами страницы.
DNS в открытом виде создаёт два различных вреда. Первый — наблюдение: ваш провайдер может регистрировать и даже монетизировать историю просмотров через домены, которые вы разрешаете. Второй — подделка: поскольку запрос не аутентифицирован, сеть может перенаправлять или блокировать запросы — механизм, лежащий в основе многих видов цензуры на основе DNS и фальшивых страниц входа в враждебных Wi-Fi. Шифрованный DNS решает обе проблемы, оборачивая запрос в шифрование и защиту целостности.
DoH и DoT: два способа зашифровать запрос
Существует два основных стандарта, и разница между ними в основном заключается в том, какой порт они используют, а следовательно, и в том, насколько они заметны в сети.
DNS over HTTPS (DoH) отправляет ваши DNS-запросы внутри обычного HTTPS-трафика через порт 443, стандартизировано в RFC 8484. Поскольку он выглядит как любой другой веб-запрос, сети сложно выделить и заблокировать его — именно поэтому браузеры его и внедрили. Это опция, которую вы чаще всего включаете в Firefox, Chrome или Edge.
DNS over TLS (DoT) оборачивает те же запросы в TLS, но через выделенный порт 853. Это упрощает управление в сети — администраторы могут отдельно видеть и контролировать трафик DoT — но также облегчает полную блокировку ограничивающей сетью. DoT распространён на уровне операционной системы и маршрутизатора (например, Частный DNS в Android).
Оба дают одну и ту же базовую защиту: запросы шифруются при передаче и аутентифицируются, чтобы их нельзя было тихо изменить. DoH ставит во главу угла незаметность; DoT — чистое управление сетью. Для человека, заботящегося о конфиденциальности, DoH обычно является более устойчивым выбором.
Что шифрованный DNS действительно скрывает — и что нет
Здесь важна честность, потому что шифрованный DNS часто преувеличивают. Он хорошо решает одну конкретную проблему и не трогает другие.
Что он скрывает:
Содержимое ваших DNS-запросов от вашего провайдера и любого другого в вашей локальной сети — они больше не могут читать, какие домены вы разрешаете.
Целостность ответа — сеть не может тихо перенаправить ваш запрос на вредоносное или подвергнутое цензуре назначение.
Что он НЕ скрывает:
IP-адрес назначения. После запроса ваше устройство всё равно подключается к этому IP, и ваш провайдер видит соединение. По одному только хорошо известному IP они часто могут догадаться о сайте.
Имя сервера в рукопожатии TLS (SNI). Если не используется Encrypted Client Hello, домен, к которому вы подключаетесь, всё ещё виден в первом пакете самого HTTPS-соединения — отдельно от DNS.
Ваши запросы от резолвера. Шифрованный DNS перемещает ваше доверие, а не устраняет его. Кто бы ни управлял резолвером — 1.1.1.1 Cloudflare, 8.8.8.8 Google, Quad9 или ваш провайдер — теперь видит каждый запрос. Выбирайте тот, у которого есть настоящая политика конфиденциальности.
Метаданные в целом. Время, объём и шаблоны соединений по-прежнему утекают информацией, даже когда запросы зашифрованы.
Шифрованный DNS скрывает от вашей сети, какие сайты вы запрашиваете, — но последующее соединение всё равно многое выдаёт, а выбранный вами резолвер видит всё. Это базовый уровень, не плащ.
Шифрованный DNS и VPN: они решают разные уровни
Люди часто спрашивают, заменяет ли шифрованный DNS VPN. Нет — они работают в разных масштабах, и понимание этого предотвращает распространённую ошибку.
Шифрованный DNS защищает только ваши DNS-запросы. VPN шифрует и туннелирует весь ваш трафик — запросы и последующие соединения — на VPN-сервер, поэтому ваш провайдер видит только зашифрованный туннель к вашему провайдеру и ничего о назначениях внутри него. Правильно настроенный VPN также обрабатывает DNS за вас, направляя эти запросы через туннель к собственному резолверу провайдера.
Именно в этой детали всё идёт не так. Если ваш браузер или ОС настроены отправлять DoH другому провайдеру, пока VPN активен, ваш DNS может выскользнуть за пределы туннеля — классическая утечка DNS, которая выдаёт ваши запросы непреднамеренному резолверу и подрывает VPN. Решение — позволить VPN управлять DNS, или направить шифрованный DNS на собственный резолвер VPN, а затем проверить.
Как проверить и настроить
Сначала проверьте утечки. Запустите тест на утечку DNS — включая инструменты шифрованного DNS и утечек на этом сайте — чтобы точно увидеть, какой резолвер отвечает за вас и является ли он ожидаемым. Если вы используете VPN и видите резолвер своего провайдера, у вас утечка.
Включите шифрованный DNS осознанно. В Firefox, Chrome или Edge включите Безопасный DNS / DNS over HTTPS и выберите надёжный резолвер. На Android используйте Частный DNS (DoT); в современных системах Windows и Apple шифрованный DNS доступен на уровне ОС.
При использовании VPN позвольте ему управлять DNS. Отдавайте предпочтение встроенному DNS VPN, чтобы запросы оставались внутри туннеля, и отключите конфликтующую настройку DoH в браузере, которая направляла бы их в другое место.
Выбирайте резолвер так, как будто это важно — потому что это так. Cloudflare, Google и Quad9 публикуют политики конфиденциальности и предлагают варианты с фильтрацией; резолвер вашего провайдера обычно предлагает наименьшую конфиденциальность. Резолвер видит ваши запросы, поэтому доверие — это всё решение.
Вывод
Шифрованный DNS — одно из самых дешёвых улучшений конфиденциальности: он не даёт вашему провайдеру и локальной сети читать и подделывать ваши запросы, и его поддерживает каждый современный браузер и операционная система. Но это один слой. Он не скрывает последующие соединения и переносит ваше доверие к выбранному резолверу. Сочетайте его с правильно настроенным VPN — который берёт DNS на себя, чтобы ничего не утекало, — и вы закроете пробел, который каждый инструмент оставляет открытым сам по себе. Как всегда, не предполагайте, что это работает; протестируйте и убедитесь.
Часто задаваемые вопросы
В чём разница между DoH и DoT?
Оба шифруют ваши DNS-запросы, но DNS over HTTPS (DoH) отправляет их внутри обычного HTTPS-трафика через порт 443, что делает его незаметным и сложным для блокировки, а DNS over TLS (DoT) использует выделенный порт 853, который чище управляется сетями, но легче заблокировать. Браузеры обычно используют DoH; операционные системы и маршрутизаторы часто используют DoT, например Частный DNS в Android.
Скрывает ли шифрованный DNS мои просмотры от провайдера?
Частично. Он скрывает содержимое ваших DNS-запросов, чтобы провайдер не мог читать, какие домены вы разрешаете, и предотвращает подделку. Но он не скрывает IP-адрес назначения, к которому вы затем подключаетесь, ни имя сервера в рукопожатии TLS, если не используется Encrypted Client Hello. Для более полной защиты, которую провайдер не видит, вам нужен VPN, туннелирующий весь трафик.
Нужен ли мне VPN, если я использую шифрованный DNS?
Они решают разные уровни. Шифрованный DNS защищает только ваши DNS-запросы; VPN шифрует и туннелирует весь ваш трафик, включая запросы и последующие соединения, и скрывает ваш IP-адрес. Шифрованный DNS — полезная база, но он не заменяет VPN, когда вы хотите, чтобы провайдер и локальная сеть ничего не видели о ваших назначениях.
Что такое утечка DNS?
Утечка DNS происходит, когда ваши DNS-запросы выходят за пределы VPN-туннеля — например, когда браузер или операционная система настроены отправлять DNS over HTTPS другому провайдеру, пока VPN активен. В результате непреднамеренный резолвер видит ваши запросы, подрывая VPN. Вы можете обнаружить её с помощью теста на утечку DNS и исправить, позволив VPN управлять DNS.
Кто видит мои DNS-запросы, когда я использую шифрованный DNS?
Выбранный вами резолвер — например, 1.1.1.1 Cloudflare, 8.8.8.8 Google, Quad9 или ваш провайдер — всё ещё видит каждый запрос. Шифрованный DNS перемещает ваше доверие к этому резолверу, а не устраняет его, поэтому важно выбрать резолвер с чёткой политикой, уважающей конфиденциальность. Однако ваша локальная сеть и провайдер больше не могут читать зашифрованные запросы при передаче.



