Ce este DNS-Over-HTTPS și cum să îl activați pe dispozitivul dvs. (sau browser)

• Categorie: Ghiduri

Încercați Instrumentul Nostru Pentru Eliminarea Problemelor

Selectați Sistemul De Operare Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Alegeți Un Program De Proiecție (Opțional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrie -Ți Problema

Obțineți Un Răspuns

Trimite -Mi Prin E -Mail Afișare Pe Site

DNS-over-HTTPS (Secure DNS) este o nouă tehnologie care își propune să facă navigarea web sigură prin criptarea comunicării dintre computerul client și serverul DNS.

Acest nou standard de internet este adoptat pe scară largă. Lista de adopții include Windows 10 (versiunea 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera și Vivaldi pentru a numi câteva.

În acest articol, vom discuta despre avantajele și dezavantajele DNS-over-HTTPS și despre cum să activați acest protocol pe dispozitivele dvs.

De asemenea, vom discuta despre cum să testăm dacă DoH este activat sau nu pentru dispozitivele dvs.

Sa incepem. Rezumat rapid ascunde 1 O explicație simplă a DNS-over-HTTPS și cum funcționează 2 Pro și Contra de DNS-over-HTTPS 2.1 DoH nu permite confidențialitatea completă a utilizatorului 2.2 DoH nu se aplică interogărilor HTTP 2.3 Nu toate serverele DNS acceptă DoH 2.4 DoH va fi o durere de cap pentru întreprinderi 3 Utilizarea DNS-over-HTTPS încetinește navigarea? 4 Cum se activează sau se dezactivează DNS-over-HTTPS pe Windows 10 4.1 Utilizarea registrului Windows 4.2 Utilizarea politicii de grup 4.3 Utilizarea PowerShell (linie de comandă) 5 Cum se activează sau se dezactivează DNS-over-HTTPS în browserele dvs. 5.1 Activați DNS-over-HTTPS în Google Chrome 5.2 Activați DNS-over-HTTPS în Mozilla Firefox 5.3 Activați DNS-over-HTTPS în Microsoft Edge 5.4 Activați DNS-over-HTTPS în Opera Browser 5.5 Activați DNS-over-HTTPS în browserul Vivaldi 6 Cum se activează DNS-over-HTTPS în Android 7 Cum verificați dacă utilizați DNS-over-HTTPS? 8 Lista serverelor de nume care acceptă DoH

O explicație simplă a DNS-over-HTTPS și cum funcționează

DNS-over-HTTPS (DoH) este un protocol pentru criptarea interogărilor DNS între computerul dvs. și serverul DNS. A fost introdus pentru prima dată în octombrie 2018 ( IETF RFC 8484 ) cu scopul de a crește securitatea și confidențialitatea utilizatorilor.

Serverele DNS tradiționale folosesc portul DNS 53 pentru comunicare, în timp ce DNS-over-HTTPS folosește portul HTTPS 443 pentru a comunica în siguranță cu clientul.

Vă rugăm să rețineți că, deși DoH este un protocol de securitate, acesta nu împiedică furnizorii de servicii Internet să vă urmărească solicitările. Pur și simplu criptează datele interogării DNS între computerul dvs. și furnizorul de servicii Internet pentru a preveni probleme precum falsificarea, atacul omului în mijloc etc.

Să înțelegem acest lucru cu un exemplu simplu.

Iată cum funcționează DNS:

1. Dacă doriți să deschideți numele de domeniu itechtics.com și să îl solicitați utilizând browserul dvs.
2. Browserul dvs. trimite o cerere către serverul DNS configurat în sistemul dvs., de exemplu, 1.1.1.1.
3. Rezolvatorul recursiv DNS (1.1.1.1) merge la serverele rădăcină ale domeniului de nivel superior (TLD) (.com în cazul nostru) și solicită serverele de nume ale itechtics.com.
4. Apoi serverul DNS (1.1.1.1) merge la serverele de nume ale itechtics.com și cere adresa IP a numelui DNS itechtics.com.
5. Serverul DNS (1.1.1.1) transportă aceste informații către browser, iar browserul se conectează la itechtics.com și primește un răspuns de la server.

Toate aceste comunicări de pe computerul dvs. către serverul DNS către serverele DNS TLD către serverele de nume către site-ul web și înapoi se fac sub formă de mesaje text simple.

Asta înseamnă că oricine vă poate monitoriza traficul web și poate ști cu ușurință ce site-uri web deschideți.

DNS-over-HTTPS criptează toate comunicațiile dintre computerul dvs. și serverul DNS, făcându-l mai sigur și mai puțin predispus la atacuri om-în-mijloc și alte atacuri de falsificare.

Să înțelegem acest lucru cu un exemplu vizual:

Când clientul DNS trimite interogări DNS către serverul DNS fără a utiliza DoH:

DNS prin HTTPS nu este activat

Când un client DoH utilizează protocolul DoH pentru a trimite trafic DNS către serverul DNS activat DoH:

DNS prin HTTPS activat

Aici puteți vedea că traficul DNS de la client la server este criptat și nimeni nu știe ce a solicitat clientul. Răspunsul DNS de la server este, de asemenea, criptat.

Pro și Contra de DNS-over-HTTPS

În timp ce DNS-over-HTTPS va înlocui încet sistemul DNS vechi, acesta vine cu propriile sale avantaje și potențiale probleme. Să discutăm câteva dintre ele aici.

DoH nu permite confidențialitatea completă a utilizatorului

DoH este susținut ca următorul lucru important în confidențialitatea și securitatea utilizatorilor, dar, în opinia mea, se concentrează doar pe securitatea utilizatorului și nu pe confidențialitate.

Dacă știți cum funcționează acest protocol, veți ști că DoH nu împiedică ISP-urile să urmărească solicitările DNS ale utilizatorilor.

Chiar dacă ISP-ul nu vă poate urmări folosind DNS deoarece utilizați un alt furnizor DNS public, există o mulțime de puncte de date care sunt încă deschise ISP-urilor pentru urmărire. De exemplu, Câmpuri de indicare a numelui serverului (SNI) și Conexiuni la protocolul de stare a certificatului online (OCSP) etc.

Dacă doriți mai multă confidențialitate, ar trebui să verificați alte tehnologii precum DNS-over-TLS (DoT), DNSCurve, DNSCrypt etc.

DoH nu se aplică interogărilor HTTP

Dacă deschideți un site web care nu funcționează folosind SSL, serverul DoH va reveni la vechea tehnologie DNS (DNS-over-HTTP) cunoscută și sub numele de Do53.

Dar dacă utilizați comunicații sigure peste tot, DoH este cu siguranță mai bun decât să folosiți tehnologiile DNS vechi și nesigure din metalul gol.

Nu toate serverele DNS acceptă DoH

Există un număr mare de servere DNS vechi care vor trebui actualizate pentru a accepta DNS-over-HTTPS. Acest lucru va dura mult timp pentru adoptarea pe scară largă.

Până când acest protocol nu este acceptat de majoritatea serverelor DNS, majoritatea utilizatorilor vor fi obligați să utilizeze serverele DNS publice oferite de organizațiile mari.

Acest lucru va duce la mai multe probleme de confidențialitate, deoarece majoritatea datelor DNS vor fi colectate în câteva locații centralizate din întreaga lume.

Un alt dezavantaj al adoptării timpurii a DoH este că, dacă un server DNS global cade, acesta va împiedica majoritatea utilizatorilor care utilizează serverul pentru rezolvarea numelui.

DoH va fi o durere de cap pentru întreprinderi

În timp ce DoH va îmbunătăți securitatea, va fi o durere de cap pentru întreprinderi și organizații care își monitorizează activitățile angajaților și folosesc instrumente pentru a bloca părțile web NSFW (care nu sunt sigure pentru muncă).

Administratorii de rețea și de sistem vor avea dificultăți în a face față noului protocol.

Utilizarea DNS-over-HTTPS încetinește navigarea?

Există două aspecte ale DoH pe care trebuie să le căutați atunci când testați performanța împotriva protocolului vechi Do53:

1. Performanță rezoluție nume
2. Performanță de încărcare a paginii web

Performanța rezoluției numelui este metrica pe care o folosim pentru a calcula timpul necesar pentru ca serverul DNS să ne ofere adresa IP a serverului necesar a site-ului web pe care dorim să îl vizităm.

Performanța de încărcare a paginii web este valoarea reală a faptului dacă simțim o încetinire atunci când navigăm pe Internet utilizând protocolul DNS-over-HTTPS.

Ambele teste au fost efectuate de samknows și rezultatul final este că există o diferență neglijabilă de performanță între DNS-over-HTTPS și protocoalele Do53 vechi.

Puteți citi fișierul studiu complet de caz de performanță cu statistici la samknows .

Iată tabelele rezumative pentru fiecare valoare definită mai sus. (Faceți clic pe imagine pentru o vizualizare mai mare)

Test de performanță rezoluție nume

Tabelul de performanță DoH vs Do53 ISP

Test de performanță de încărcare a paginii web

Performanța de încărcare a paginii web DoH vs Do53

Cum se activează sau se dezactivează DNS-over-HTTPS pe Windows 10

Windows 10 Versiunea 2004 va veni cu DNS-over-HTTPS activat în mod implicit. Deci, odată ce următoarea versiune de Windows 10 este lansată și treceți la cea mai recentă versiune, nu va mai fi nevoie să activați DoH manual.

Cu toate acestea, dacă utilizați Windows 10 Insider Preview, va trebui să activați DoH manual folosind următoarele metode:

Utilizarea registrului Windows

1. Mergi la Rulați -> regedit . Aceasta va deschide Windows Registry Editor.
2. Deschideți următoarea cheie de registry:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
3. Faceți clic dreapta pe Parametrii folder și selectați Nou -> DWORD (32 de biți) Valoare.
4. Numeste-l EnableAutoDoh .
5. Setați valoarea intrării EnableAutoDoh la 2 .
   

Va trebui să reporniți computerul pentru ca modificările să aibă efect.

Rețineți că această modificare va intra în vigoare numai atunci când utilizați serverele DNS care acceptă DNS-over-HTTPS. Mai jos veți găsi un lista furnizorilor DNS publici care acceptă DoH .

Versiunile anterioare ale Windows 10, inclusiv versiunile 1909 și 1903, nu acceptă DoH în mod implicit.

Utilizarea politicii de grup

Păstrez această secțiune pentru o utilizare viitoare. În acest moment, nu există reguli de politică de grup pentru DNS-over-HTTPS. Vom completa pașii atunci când Microsoft le pune la dispoziție pentru Windows 10 Versiunea 2004.

Utilizarea PowerShell (linie de comandă)

Păstrez această secțiune pentru o utilizare viitoare. Dacă Microsoft oferă o modalitate de a activa sau dezactiva DoH utilizând linia de comandă, vom enumera pașii aici.

Cum se activează sau se dezactivează DNS-over-HTTPS în browserele dvs.

Unele aplicații acceptă ocolirea serverului DNS configurat de sistem și utilizează în schimb DNS-over-HTTPS. Aproape toate browserele moderne fie acceptă deja DoH, fie vor susține protocolul în viitorul apropiat.

Activați DNS-over-HTTPS în Google Chrome

1. Deschideți Google Chrome și accesați următoarea adresă URL:
   chrome://settings/security
2. Sub Securitate avansată , porniți Utilizați DNS securizat .
3. După activarea DNS securizat, vor exista două opțiuni:
   • Cu furnizorul dvs. actual de servicii
   • Cu furnizorii de servicii recomandați de Google

Puteți selecta orice vi se potrivește. A doua opțiune va depăși setările DNS ale sistemului.

Activați DNS securizat în Google Chrome

Pentru a dezactiva DoH, pur și simplu comutați Utilizați DNS securizat setări pentru oprit .

Activați DNS-over-HTTPS în Mozilla Firefox

1. Deschideți Firefox și accesați următoarea adresă URL:
   about:preferences
2. Sub general , mergi la Setari de retea și faceți clic pe Setări buton. Sau pur și simplu apăsați tasta ȘI tasta tastaturii pentru a deschide setările.
3. Derulați până jos și Verifica Activați DNS prin HTTPS .
4. Din meniul derulant, puteți alege serverul DNS securizat preferat.
   

Activați DNS-over-HTTPS în Microsoft Edge

1. Deschideți Microsoft Edge și accesați următoarea adresă URL:
   edge://flags/#dns-over-https
2. Selectați Activat din meniul derulant de lângă Căutări DNS securizate .
3. Reporniți browserul pentru ca modificările să aibă efect.
   

Activați DNS-over-HTTPS în Opera Browser

1. Deschideți browserul Opera și accesați Setări (Alt + P).
2. Extinde Avansat din meniul din stânga.
3. Sub Sistem, porniți Utilizați DNS-over-HTTPS în locul setărilor DNS ale sistemului .
4. Reporniți browserul pentru ca modificările să aibă efect.
   

Setările DNS sigure nu au intrat în vigoare până când nu am dezactivat serviciul VPN încorporat al Opera. Dacă aveți probleme cu activarea DoH în Opera, încercați să dezactivați VPN-ul.

Activați DNS-over-HTTPS în browserul Vivaldi

1. Deschideți browserul Vivaldi și accesați următoarea adresă URL:
   vivaldi://flags/#dns-over-https
2. Selectați Activat din meniul derulant de lângă Căutări DNS securizate .
3. Reporniți browserul pentru ca modificările să aibă efect.
   

Cum se activează DNS-over-HTTPS în Android

Android 9 Pie acceptă setările DoH. Puteți urma pașii de mai jos pentru a activa DoH pe telefonul dvs. Android:

1. Mergi la Setări → Rețea și internet → Avansat → DNS privat .
2. Puteți seta fie această opțiune pe Auto, fie puteți specifica singur un furnizor DNS sigur.
   

Dacă nu puteți găsi aceste setări pe telefon, puteți urma pașii de mai jos:

1. Descărcați și deschideți aplicația QuickShortcutMaker din Magazinul Google Play.
2. Accesați Setări și atingeți:
   com.android.settings.Settings$NetworkDashboardActivity

Acest lucru vă va duce direct la pagina de setări de rețea, unde veți găsi opțiunea securizată DNS.

Cum verificați dacă utilizați DNS-over-HTTPS?

Există două moduri de a verifica dacă DoH este activat corect pentru dispozitivul dvs. sau pentru browser.

Cel mai simplu mod de a verifica acest lucru este accesând această pagină de verificare a experienței de navigare cloudflare . Apasă pe Verificați browserul meu buton.

Sub Secure DNS, veți primi următorul mesaj dacă utilizați DoH: pktmon filter remove

Dacă nu utilizați DoH, veți primi următorul mesaj: pktmon filter add -p 53

Windows 10 Versiunea 2004 oferă, de asemenea, o modalitate de a monitoriza portul 53 de pachete în timp real. Acest lucru ne va spune dacă sistemul utilizează DNS-over-HTTPS sau moștenirea Do53.

1. Deschideți PowerShell cu privilegii administrative.
2. Rulați următoarele comenzi:
   pktmon start --etw -m real-time
   Aceasta elimină toate filtrele active, dacă există.
   

   You are using encrypted DNS transport with 1.1.1.1

   
   Aceasta adaugă portul 53 pentru a fi monitorizat și înregistrat.
   

   You may not be using secure DNS.

   
   Aceasta începe cu monitorizarea în timp real a portului 53.
   

Dacă vedeți o mulțime de trafic în listă, acest lucru înseamnă că moștenirea Do53 este utilizată în locul DoH.

Vă rugăm să rețineți că comenzile menționate mai sus vor funcționa numai în Windows 10 Versiunea 2004. În caz contrar, vă va da o eroare: parametru necunoscut „în timp real”

Lista serverelor de nume care acceptă DoH

Iată lista furnizorilor de servicii DNS care acceptă DNS-over-HTTPS.

Furnizor	Numele gazdei	Adresa IP
AdGuard	dns.adguard.com	176.103.130.132 176.103.130.134
AdGuard	dns-family.adguard.com	176.103.130.132 176.103.130.134
CleanBrowsing	family-filter-dns.cleanbrowsing.org	185.228.168.168 185.228.169.168
CleanBrowsing	adult-filter-dns.cleanbrowsing.org	185.228.168.10 185.228.169.11
Cloudflare	one.one.one.one 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Cloudflare	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Cloudflare	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
NextDNS	dns.nextdns.io	45.90.28.0 45.90.30.0
OpenDNS	dns.opendns.com	208.67.222.222 208.67.220.220
OpenDNS	familyshield.opendns.com	208.67.222.123 208.67.220.123
OpenDNS	sandbox.opendns.com	208.67.222.2 208.67.220.2
Quad9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149.112.112.112

Deși DNS-over-HTTPS face webul mai sigur și ar trebui implementat uniform pe web (ca în cazul HTTPS), acest protocol va oferi coșmaruri sysadmins.

Sysadmins trebuie să găsească modalități de a bloca serviciile DNS publice, permițând în același timp serverelor DNS interne să folosească DoH. Acest lucru trebuie făcut pentru a menține echipamentele de monitorizare actuale și politicile de restricție active în întreaga organizație.

Dacă mi-a lipsit ceva din articol, vă rog să-mi spuneți în comentariile de mai jos. Dacă ți-a plăcut articolul și ai învățat ceva nou, te rog să-l împărtășești cu prietenii tăi și pe rețelele sociale și abonează-te la newsletter-ul nostru.