Co to jest DNS-Over-HTTPS i jak go włączyć na swoim urządzeniu (lub przeglądarce)

• Kategoria: Przewodniki

Wypróbuj Nasz Instrument Do Eliminowania Problemów

Wybierz System Operacyjny Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wybierz Program Projekcji (Opcjonalnie) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opisz Swój Problem

Dostać Odpowiedź

Wyślij Mi E -Mail Pokaż Na Stronie

DNS-over-HTTPS (Secure DNS) to nowa technologia, której celem jest zapewnienie bezpieczeństwa przeglądania sieci poprzez szyfrowanie komunikacji między komputerem klienckim a serwerem DNS.

Ten nowy standard internetowy jest szeroko stosowany. Lista adopcyjna obejmuje między innymi Windows 10 (wersja 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera i Vivaldi.

W tym artykule omówimy zalety i wady DNS-over-HTTPS oraz jak włączyć ten protokół na swoich urządzeniach.

Omówimy również, jak sprawdzić, czy DoH jest włączone dla twoich urządzeń, czy nie.

Zaczynajmy. Szybkie podsumowanie ukryć 1 Proste wyjaśnienie DNS-over-HTTPS i jak to działa 2 Plusy i minusy DNS-over-HTTPS 2,1 DoH nie zapewnia pełnej prywatności użytkownika 2.2 DoH nie dotyczy zapytań HTTP 2,3 Nie wszystkie serwery DNS obsługują DoH 2,4 DoH przyprawia przedsiębiorstwa o ból głowy 3 Czy korzystanie z DNS-over-HTTPS spowalnia przeglądanie? 4 Jak włączyć lub wyłączyć DNS-over-HTTPS w systemie Windows 10? 4.1 Korzystanie z rejestru systemu Windows 4.2 Korzystanie z zasad grupy 4,3 Korzystanie z PowerShell (wiersz poleceń) 5 Jak włączyć lub wyłączyć DNS-over-HTTPS w swoich przeglądarkach? 5.1 Włącz DNS-over-HTTPS w Google Chrome 5.2 Włącz DNS-over-HTTPS w Mozilla Firefox 5,3 Włącz DNS-over-HTTPS w Microsoft Edge 5.4 Włącz DNS-over-HTTPS w przeglądarce Opera 5,5 Włącz DNS-over-HTTPS w przeglądarce Vivaldi 6 Jak włączyć DNS-over-HTTPS w Androidzie? 7 Jak sprawdzić, czy używasz DNS-over-HTTPS? 8 Lista serwerów nazw obsługujących DoH

Proste wyjaśnienie DNS-over-HTTPS i jak to działa

DNS-over-HTTPS (DoH) to protokół do szyfrowania zapytań DNS między komputerem a serwerem DNS. Został wprowadzony po raz pierwszy w październiku 2018 r. ( IETF RFC 8484 ) w celu zwiększenia bezpieczeństwa i prywatności użytkowników.

Tradycyjne serwery DNS wykorzystują port DNS 53 do komunikacji, podczas gdy DNS-over-HTTPS wykorzystuje port HTTPS 443 do bezpiecznej komunikacji z klientem.

Należy pamiętać, że chociaż DoH jest protokołem bezpieczeństwa, nie uniemożliwia dostawcom usług internetowych śledzenia Twoich żądań. Po prostu szyfruje dane zapytań DNS między komputerem a dostawcą usług internetowych, aby zapobiec problemom, takim jak podszywanie się, atak typu man-in-the-middle itp.

Zrozummy to na prostym przykładzie.

Oto jak działa DNS:

1. Jeśli chcesz otworzyć nazwę domeny itechtics.com i zażądać jej za pomocą przeglądarki.
2. Twoja przeglądarka wysyła zapytanie do serwera DNS skonfigurowanego w Twoim systemie, np. 1.1.1.1.
3. Rekurencyjny resolver DNS (1.1.1.1) trafia do serwerów głównych domeny najwyższego poziomu (TLD) (w naszym przypadku .com) i pyta o serwery nazw itechtics.com.
4. Następnie serwer DNS (1.1.1.1) przechodzi do serwerów nazw itechtics.com i pyta o adres IP nazwy DNS itechtics.com.
5. Serwer DNS (1.1.1.1) przenosi te informacje do przeglądarki, a przeglądarka łączy się z itechtics.com i otrzymuje odpowiedź od serwera.

Cała ta komunikacja z Twojego komputera do serwera DNS, serwerów DNS TLD, serwerów nazw do witryny iz powrotem odbywa się w formie prostych wiadomości tekstowych.

Oznacza to, że każdy może monitorować Twój ruch w sieci i łatwo wiedzieć, jakie witryny otwierasz.

DNS-over-HTTPS szyfruje całą komunikację między komputerem a serwerem DNS, czyniąc go bezpieczniejszym i mniej podatnym na ataki typu man-in-the-middle i inne ataki typu spoofing.

Zrozummy to na wizualnym przykładzie:

Gdy klient DNS wysyła zapytania DNS do serwera DNS bez użycia DoH:

DNS przez HTTPS nie jest włączony

Gdy klient DoH używa protokołu DoH do wysyłania ruchu DNS do serwera DNS obsługującego DoH:

Włączono DNS przez HTTPS

Tutaj widać, że ruch DNS od klienta do serwera jest zaszyfrowany i nikt nie wie, czego zażądał klient. Odpowiedź DNS z serwera jest również szyfrowana.

Plusy i minusy DNS-over-HTTPS

Chociaż DNS-over-HTTPS powoli zastąpi starszy system DNS, ma on swoje zalety i potencjalne problemy. Omówmy niektóre z nich tutaj.

DoH nie zapewnia pełnej prywatności użytkownika

DoH jest reklamowany jako kolejna wielka rzecz w prywatności i bezpieczeństwie użytkowników, ale moim zdaniem skupia się tylko na bezpieczeństwie użytkownika, a nie na prywatności.

Jeśli wiesz, jak działa ten protokół, będziesz wiedział, że DoH nie uniemożliwia dostawcom usług internetowych śledzenia żądań DNS użytkowników.

Nawet jeśli dostawca usług internetowych nie jest w stanie śledzić Cię za pomocą DNS, ponieważ korzystasz z innego publicznego dostawcy DNS, istnieje wiele punktów danych, które są nadal dostępne dla dostawców usług internetowych do śledzenia. Na przykład, Pola ze wskazaniem nazwy serwera (SNI) oraz Połączenia Online Certificate Status Protocol (OCSP) itp.

Jeśli chcesz więcej prywatności, powinieneś sprawdzić inne technologie, takie jak DNS-over-TLS (DoT), DNSCurve, DNSCrypt itp.

DoH nie dotyczy zapytań HTTP

Jeśli otwierasz stronę internetową, która nie działa przy użyciu SSL, serwer DoH powróci do starszej technologii DNS (DNS-over-HTTP), znanej również jako Do53.

Ale jeśli wszędzie korzystasz z bezpiecznej komunikacji, DoH jest zdecydowanie lepsze niż korzystanie ze starych i niezabezpieczonych technologii DNS.

Nie wszystkie serwery DNS obsługują DoH

Istnieje duża liczba starszych serwerów DNS, które należy uaktualnić, aby obsługiwały DNS-over-HTTPS. Zajmie to dużo czasu w przypadku powszechnego przyjęcia.

Dopóki ten protokół nie będzie wspierany przez większość serwerów DNS, większość użytkowników będzie zmuszona do korzystania z publicznych serwerów DNS oferowanych przez duże organizacje.

Doprowadzi to do większej liczby problemów z prywatnością, ponieważ większość danych DNS będzie gromadzona w kilku scentralizowanych lokalizacjach na całym świecie.

Inną wadą wczesnego przyjęcia DoH jest to, że jeśli globalny serwer DNS ulegnie awarii, spowoduje to wyłączenie większości użytkowników korzystających z serwera do rozpoznawania nazw.

DoH przyprawia przedsiębiorstwa o ból głowy

Chociaż DoH poprawi bezpieczeństwo, będzie to ból głowy dla przedsiębiorstw i organizacji, które monitorują działania swoich pracowników i używają narzędzi do blokowania części sieci NSFW (not safe for work).

Administratorzy sieci i systemów będą mieli trudności z radzeniem sobie z nowym protokołem.

Czy korzystanie z DNS-over-HTTPS spowalnia przeglądanie?

Podczas testowania wydajności względem starszego protokołu Do53 należy zwrócić uwagę na dwa aspekty DoH:

1. Wydajność rozpoznawania nazw
2. Wydajność ładowania strony internetowej

Wydajność rozpoznawania nazw to metryka, której używamy do obliczenia czasu potrzebnego serwerowi DNS na przekazanie nam wymaganego adresu IP serwera witryny, którą chcemy odwiedzić.

Wydajność ładowania strony internetowej jest miarą tego, czy odczuwamy spowolnienie podczas przeglądania Internetu za pomocą protokołu DNS-over-HTTPS.

Oba te testy zostały przeprowadzone przez samknows, a ostatecznym wynikiem jest niewielka różnica w wydajności między protokołami DNS-over-HTTPS a starszymi protokołami Do53.

Możesz przeczytać pełne studium przypadku wydajności ze statystykami w samknows .

Oto tabele podsumowujące dla wszystkich danych zdefiniowanych powyżej. (Kliknij na obrazek, aby powiększyć)

Test wydajności rozpoznawania nazw

Tabela wydajności DoH vs Do53 ISP

Test wydajności ładowania strony internetowej

Wydajność ładowania strony DoH vs Do53

Jak włączyć lub wyłączyć DNS-over-HTTPS w systemie Windows 10?

Windows 10 w wersji 2004 będzie dostarczany z domyślnie włączonym DNS-over-HTTPS. Tak więc po wydaniu kolejnej wersji systemu Windows 10 i aktualizacji do najnowszej wersji nie będzie potrzeby ręcznego włączania DoH.

Jeśli jednak korzystasz z Windows 10 Insider Preview, musisz ręcznie włączyć DoH, korzystając z następujących metod:

Korzystanie z rejestru systemu Windows

1. Iść do Uruchom -> regedit . Spowoduje to otwarcie Edytora rejestru systemu Windows.
2. Otwórz następujący klucz rejestru:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
3. Kliknij prawym przyciskiem myszy Parametry folder i wybierz Nowy -> DWORD (32-bitowy) Wartość.
4. Nazwij to Włącz AutoDoh .
5. Ustaw wartość wpisu EnableAutoDoh na 2 .
   

Aby zmiany zaczęły obowiązywać, konieczne będzie ponowne uruchomienie komputera.

Pamiętaj, że ta zmiana wejdzie w życie tylko wtedy, gdy używasz serwerów DNS, które obsługują DNS-over-HTTPS. Poniżej znajdziesz lista publicznych dostawców DNS obsługujących DoH .

Wcześniejsze wersje systemu Windows 10, w tym wersje 1909 i 1903, domyślnie nie obsługują DoH.

Korzystanie z zasad grupy

Zachowuję tę sekcję do wykorzystania w przyszłości. W tej chwili nie ma żadnych zasad polityki grupowej dla DNS-over-HTTPS. Wypełnimy kroki, gdy firma Microsoft udostępni je dla systemu Windows 10 w wersji 2004.

Korzystanie z PowerShell (wiersz poleceń)

Zachowuję tę sekcję do wykorzystania w przyszłości. Jeśli Microsoft zapewnia sposób włączania lub wyłączania DoH za pomocą wiersza poleceń, wymienimy tutaj kroki.

Jak włączyć lub wyłączyć DNS-over-HTTPS w swoich przeglądarkach?

Niektóre aplikacje obsługują omijanie skonfigurowanego przez system serwera DNS i zamiast tego używają DNS-over-HTTPS. Prawie wszystkie nowoczesne przeglądarki obsługują już DoH lub będą obsługiwać ten protokół w najbliższej przyszłości.

Włącz DNS-over-HTTPS w Google Chrome

1. Otwórz Google Chrome i przejdź pod następujący adres URL:
   chrome://settings/security
2. Pod zaawansowana ochrona , włącz Użyj bezpiecznego DNS .
3. Po włączeniu bezpiecznego DNS będą dwie opcje:
   • Z obecnym dostawcą usług
   • Z usługodawcami polecanymi przez Google

Możesz wybrać to, co Ci odpowiada. Druga opcja zastąpi ustawienia DNS twojego systemu.

Włącz bezpieczny DNS w Google Chrome

Aby wyłączyć DoH, po prostu przełącz Użyj bezpiecznego DNS ustawienia do wyłączony .

Włącz DNS-over-HTTPS w Mozilla Firefox

1. Otwórz Firefoksa i przejdź pod następujący adres URL:
   about:preferences
2. Pod ogólny , iść do Ustawienia sieci i kliknij Ustawienia przycisk. Lub po prostu naciśnij ORAZ klawisz klawiatury, aby otworzyć ustawienia.
3. Przewiń w dół i sprawdzać Włącz DNS przez HTTPS .
4. Z listy rozwijanej możesz wybrać preferowany bezpieczny serwer DNS.
   

Włącz DNS-over-HTTPS w Microsoft Edge

1. Otwórz Microsoft Edge i przejdź pod następujący adres URL:
   edge://flags/#dns-over-https
2. Wybierz Włączony z rozwijanego menu obok Bezpieczne wyszukiwania DNS .
3. Uruchom ponownie przeglądarkę, aby zmiany zaczęły obowiązywać.
   

Włącz DNS-over-HTTPS w przeglądarce Opera

1. Otwórz przeglądarkę Opera i przejdź do Ustawień (Alt + P).
2. Zwiększać Zaawansowany w menu po lewej stronie.
3. W ramach systemu, włącz Użyj DNS-over-HTTPS zamiast ustawień DNS systemu .
4. Uruchom ponownie przeglądarkę, aby zmiany zaczęły obowiązywać.
   

Bezpieczne ustawienia DNS nie zaczęły obowiązywać, dopóki nie wyłączyłem wbudowanej usługi VPN Opery. Jeśli masz problemy z włączeniem DoH w Operze, spróbuj wyłączyć VPN.

Włącz DNS-over-HTTPS w przeglądarce Vivaldi

1. Otwórz przeglądarkę Vivaldi i przejdź pod następujący adres URL:
   vivaldi://flags/#dns-over-https
2. Wybierz Włączony z rozwijanego menu obok Bezpieczne wyszukiwania DNS .
3. Uruchom ponownie przeglądarkę, aby zmiany zaczęły obowiązywać.
   

Jak włączyć DNS-over-HTTPS w Androidzie?

Android 9 Pie obsługuje ustawienia DoH. Możesz wykonać poniższe czynności, aby włączyć DoH na telefonie z Androidem:

1. Iść do Ustawienia → Sieć i Internet → Zaawansowane → Prywatny DNS .
2. Możesz ustawić tę opcję na Auto lub samodzielnie określić bezpiecznego dostawcę DNS.
   

Jeśli nie możesz znaleźć tych ustawień w telefonie, możesz wykonać następujące czynności:

1. Pobierz i otwórz aplikację QuickShortcutMaker ze Sklepu Google Play.
2. Przejdź do Ustawień i dotknij:
   com.android.settings.Settings$NetworkDashboardActivity

Spowoduje to przejście bezpośrednio do strony ustawień sieci, na której znajdziesz opcję bezpiecznego DNS.

Jak sprawdzić, czy używasz DNS-over-HTTPS?

Istnieją dwa sposoby sprawdzenia, czy DoH jest poprawnie włączone dla Twojego urządzenia lub przeglądarki.

Najłatwiej to sprawdzić, przechodząc do ta strona sprawdzania przeglądania Cloudflare . Kliknij Sprawdź moją przeglądarkę przycisk.

W obszarze Secure DNS otrzymasz następujący komunikat, jeśli używasz DoH:|_+_|

Jeśli nie korzystasz z DoH, otrzymasz następujący komunikat:|_+_|

Windows 10 Version 2004 umożliwia również monitorowanie pakietów portu 53 w czasie rzeczywistym. To powie nam, czy system używa DNS-over-HTTPS, czy starszego Do53.

1. Otwórz PowerShell z uprawnieniami administracyjnymi.
2. Uruchom następujące polecenia:
   pktmon filter remove
   Spowoduje to usunięcie wszystkich aktywnych filtrów, jeśli takie istnieją.
   pktmon filter add -p 53
   Dzięki temu port 53 będzie monitorowany i rejestrowany.
   pktmon start --etw -m real-time
   Zaczyna się od monitorowania w czasie rzeczywistym portu 53.
   

Jeśli widzisz na liście duży ruch, oznacza to, że zamiast DoH używany jest starszy Do53.

Należy pamiętać, że powyższe polecenia będą działać tylko w systemie Windows 10 w wersji 2004. W przeciwnym razie spowoduje to błąd: nieznany parametr „w czasie rzeczywistym”

Lista serwerów nazw obsługujących DoH

Oto lista dostawców usług DNS, którzy obsługują DNS-over-HTTPS.

Dostawca	Nazwa hosta	Adres IP
AdGuard	dns.adguard.com	176 103 130 132 176,103,130,134
AdGuard	dns-family.adguard.com	176 103 130 132 176,103,130,134
CzystePrzeglądanie	family-filter-dns.cleanbrowsing.org	185,228,168,168 185,228,169,168
CzystePrzeglądanie	filtr-dla dorosłych-dns.cleanbrowsing.org	185.228.168.10 185.228.169.11
Cloudflare	jeden.jeden.jeden.jeden 1kropka1kropka1kropka1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Cloudflare	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Cloudflare	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
NastępnyDNS	dns.nextdns.io	45.90.28,0 45.90.30.0
OpenDNS	dns.openns.com	208.67.222.222 208.67.220.220
OpenDNS	familyshield.openns.com	208.67.222.123 208.67.220.123
OpenDNS	sandbox.openns.com	208.67.222.2 208.67.220,2
Czwórka9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149,112,112,112

Chociaż DNS-over-HTTPS sprawia, że ​​sieć jest bezpieczniejsza i powinna być wdrażana jednolicie w całej sieci (jak w przypadku HTTPS), ten protokół przyniesie koszmary administratorom.

Administratorzy systemu muszą znaleźć sposoby blokowania publicznych usług DNS, jednocześnie umożliwiając swoim wewnętrznym serwerom DNS korzystanie z DoH. Należy to zrobić, aby bieżący sprzęt do monitorowania i polityki ograniczeń były aktywne w całej organizacji.

Jeśli coś przegapiłem w artykule, daj mi znać w komentarzach poniżej. Jeśli podobał Ci się artykuł i dowiedziałeś się czegoś nowego, podziel się nim ze znajomymi i w mediach społecznościowych oraz zapisz się do naszego newslettera.