Kas ir DNS-over-HTTPS un kā to iespējot ierīcē (vai pārlūkprogrammā)

• Kategorija: Ceļveži

Izmēģiniet Mūsu Instrumentu Problēmu Novēršanai

Atlasiet Operētājsistēmu Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Izvēlieties Projekcijas Programmu (Pēc Izvēles) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Aprakstiet Savu Problēmu

Saņemt Atbildi

Atsūti Mani Pa E -Pastu Rādīt Vietnē

DNS-over-HTTPS (Secure DNS) ir jauna tehnoloģija, kuras mērķis ir padarīt tīmekļa pārlūkošanu drošu, šifrējot saziņu starp klienta datoru un DNS serveri.

Šis jaunais interneta standarts tiek plaši pieņemts. Pieņemšanas sarakstā ietilpst Windows 10 (versija 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera un Vivaldi.

Šajā rakstā mēs apspriedīsim DNS un HTTPS priekšrocības un trūkumus un to, kā iespējot šo protokolu savās ierīcēs.

Mēs arī apspriedīsim, kā pārbaudīt, vai DoH ir iespējots jūsu ierīcēm.

Sāksim. Ātrs kopsavilkums paslēpties 1 Vienkāršs DNS-over-HTTPS un tā darbības skaidrojums 2 Plusi un mīnusi DNS pār-HTTPS 2.1 DoH neiespējo pilnīgu lietotāja privātumu 2.2 DoH neattiecas uz HTTP vaicājumiem 2.3 Ne visi DNS serveri atbalsta DoH 2.4 DoH uzņēmumiem radīs galvassāpes 3 Vai DNS, izmantojot HTTPS, palēnina pārlūkošanu? 4 Kā iespējot vai atspējot DNS pār HTTPS operētājsistēmā Windows 10 4.1 Izmantojot Windows reģistru 4.2 Grupas politikas izmantošana 4.3 PowerShell (komandrindas) izmantošana 5 Kā iespējot vai atspējot DNS pār HTTPS pārlūkprogrammās 5.1 Iespējojiet pārlūkā Google Chrome DNS-over-HTTPS 5.2 Iespējojiet pārlūkprogrammā Mozilla Firefox DNS-over-HTTPS 5.3 Microsoft Edge iespējojiet DNS, izmantojot HTTPS 5.4 Iespējojiet pārlūkprogrammā DNS over-HTTPS 5.5 Iespējot DNS, izmantojot HTTPS, pārlūkprogrammā Vivaldi 6 Kā iespējot DNS, izmantojot HTTPS operētājsistēmā Android 7 Kā pārbaudīt, vai izmantojat DNS, izmantojot HTTPS? 8 Vārdu serveru saraksts, kas atbalsta DoH

Vienkāršs DNS-over-HTTPS un tā darbības skaidrojums

DNS-over-HTTPS (DoH) ir protokols DNS vaicājumu šifrēšanai starp datoru un DNS serveri. Tas pirmo reizi tika ieviests 2018. gada oktobrī ( IETF RFC 8484 ) ar mērķi palielināt lietotāju drošību un privātumu.

Tradicionālie DNS serveri saziņai izmanto DNS portu 53, savukārt DNS-over-HTTPS izmanto HTTPS portu 443, lai droši sazinātos ar klientu.

Lūdzu, ņemiet vērā, ka, lai gan DoH ir drošības protokols, tas neliedz interneta pakalpojumu sniedzējiem izsekot jūsu pieprasījumiem. Tas vienkārši šifrē DNS vaicājuma datus starp jūsu datoru un interneta pakalpojumu sniedzēju, lai novērstu tādas problēmas kā izkrāpšana, uzbrukums vidū.

Sapratīsim to ar vienkāršu piemēru.

Lūk, kā darbojas DNS:

1. Ja vēlaties atvērt domēna nosaukumu itechtics.com un pieprasīt to, izmantojot pārlūkprogrammu.
2. Jūsu pārlūkprogramma nosūta pieprasījumu uz jūsu sistēmā konfigurēto DNS serveri, piemēram, 1.1.1.1.
3. DNS rekursīvais atrisinātājs (1.1.1.1) dodas uz augstākā līmeņa domēna (TLD) sakņu serveriem (.com mūsu gadījumā) un pieprasa itechtics.com vārdu serverus.
4. Pēc tam DNS serveris (1.1.1.1.) Dodas uz itechtics.com vārdu serveriem un pieprasa itechtics.com DNS nosaukuma IP adresi.
5. DNS serveris (1.1.1.1.) Pārnes šo informāciju uz pārlūkprogrammu, un pārlūkprogramma izveido savienojumu ar itechtics.com un saņem atbildi no servera.

Visa šī saziņa no datora uz DNS serveri uz TLD DNS serveriem uz vārdu serveriem uz vietni un atpakaļ tiek veikta vienkāršu īsziņu veidā.

Tas nozīmē, ka ikviens var uzraudzīt jūsu tīmekļa trafiku un viegli zināt, kuras vietnes atverat.

DNS-over-HTTPS šifrē visu saziņu starp jūsu datoru un DNS serveri, padarot to drošāku un mazāk pakļautu cilvēka vidū un citiem viltošanas uzbrukumiem.

Sapratīsim to ar vizuālu piemēru:

Kad DNS klients nosūta DNS vaicājumus uz DNS serveri, neizmantojot DoH:

DNS, izmantojot HTTPS, nav iespējots

Kad DoH klients izmanto DoH protokolu, lai nosūtītu DNS trafiku uz DNS serveri, kurā iespējots DoH:

DNS, izmantojot HTTPS, ir iespējots

Šeit jūs varat redzēt, ka DNS trafiks no klienta uz serveri ir šifrēts un neviens nezina, ko klients ir pieprasījis. DNS atbilde no servera ir arī šifrēta.

Plusi un mīnusi DNS pār-HTTPS

Lai gan DNS-over-HTTPS lēnām aizstās mantoto DNS sistēmu, tam ir savas priekšrocības un iespējamās problēmas. Apspriedīsim dažus no tiem šeit.

DoH neiespējo pilnīgu lietotāja privātumu

DoH tiek minēts kā nākamā lielā lieta lietotāju privātumā un drošībā, taču, manuprāt, tā ir vērsta tikai uz lietotāju drošību, nevis uz privātumu.

Ja jūs zināt, kā šis protokols darbojas, jūs zināt, ka DoH neliedz interneta pakalpojumu sniedzējiem izsekot lietotāju DNS pieprasījumiem.

Pat ja interneta pakalpojumu sniedzējs nevar izsekot jums, izmantojot DNS, jo izmantojat citu publisko DNS pakalpojumu sniedzēju, ir daudz datu punktu, kas joprojām ir pieejami ISP izsekošanai. Piemēram, Servera nosaukuma indikācijas (SNI) lauki un Tiešsaistes sertifikātu statusa protokola (OCSP) savienojumi utt.

Ja vēlaties lielāku privātumu, jums jāpārbauda citas tehnoloģijas, piemēram, DNS-over-TLS (DoT), DNSCurve, DNSCrypt utt.

DoH neattiecas uz HTTP vaicājumiem

Ja atverat vietni, kas nedarbojas, izmantojot SSL, DoH serveris atgriezīsies pie mantotās DNS tehnoloģijas (DNS-over-HTTP), kas pazīstama arī kā Do53.

Bet, ja visur izmantojat drošu saziņu, DoH noteikti ir labāks par veco un nedrošo DNS tehnoloģiju izmantošanu.

Ne visi DNS serveri atbalsta DoH

Ir liels skaits mantoto DNS serveru, kas būs jājaunina, lai atbalstītu DNS pār HTTPS. Lai to plaši pieņemtu, tas prasīs ilgu laiku.

Kamēr šo protokolu neatbalsta lielākā daļa DNS serveru, lielākā daļa lietotāju būs spiesti izmantot lielo organizāciju piedāvātos publiskos DNS serverus.

Tas radīs vairāk privātuma problēmu, jo lielākā daļa DNS datu tiks apkopoti dažās centralizētās vietās visā pasaulē.

Vēl viens DoH agrīnas ieviešanas trūkums ir tāds, ka, ja globālais DNS serveris iet uz leju, tas aizķers lielāko daļu lietotāju, kas izmanto serveri vārdu izšķiršanai.

DoH uzņēmumiem radīs galvassāpes

Lai gan DoH uzlabos drošību, tas radīs galvassāpes uzņēmumiem un organizācijām, kas uzrauga savu darbinieku darbības un izmanto rīkus, lai bloķētu NSFW (nav drošs darbam) tīmekļa daļas.

Tīkla un sistēmas administratoriem būs grūti tikt galā ar jauno protokolu.

Vai DNS, izmantojot HTTPS, palēnina pārlūkošanu?

Pārbaudot veiktspēju pret mantoto Do53 protokolu, ir jāmeklē divi DoH aspekti:

1. Nosaukuma izšķirtspējas veiktspēja
2. Tīmekļa lapas ielādes veiktspēja

Vārdu izšķirtspējas veiktspēja ir metrika, ko mēs izmantojam, lai aprēķinātu laiku, kas nepieciešams DNS serverim, lai sniegtu mums vajadzīgās vietnes servera IP adresi.

Tīmekļa lapu ielādes veiktspēja ir faktiskais rādītājs tam, vai mēs jūtam palēninājumu, pārlūkojot internetu, izmantojot protokolu DNS, kas pārsniedz HTTPS.

Abus šos testus veica samknows, un gala rezultāts ir tāds, ka ir nenozīmīga veiktspējas atšķirība starp DNS, kas pārsniedz HTTPS, un mantotajiem Do53 protokoliem.

Jūs varat izlasīt pabeigt veiktspējas gadījumu izpēti ar statistiku samknows .

Šeit ir apkopotas tabulas par katru iepriekš definēto metriku. (Noklikšķiniet uz attēla, lai redzētu lielāku attēlu)

Nosaukuma izšķirtspējas veiktspējas tests

DoH vs Do53 ISP veiktspējas tabula

Tīmekļa lapas ielādes veiktspējas pārbaude

DoH vs Do53 tīmekļa lapas ielādes veiktspēja

Kā iespējot vai atspējot DNS pār HTTPS operētājsistēmā Windows 10

Windows 10 versijā 2004 pēc noklusējuma būs iespējota DNS pār HTTPS. Tātad, tiklīdz būs izlaista nākamā Windows 10 versija un jaunināsit uz jaunāko versiju, DoH nebūs manuāli jāiespējo.

Tomēr, ja izmantojat Windows 10 Insider Preview, jums būs manuāli jāiespējo DoH, izmantojot šādas metodes:

Izmantojot Windows reģistru

1. Iet uz Palaist -> regedit . Tas atvērs Windows reģistra redaktoru.
2. Atveriet šādu reģistra atslēgu:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
3. Ar peles labo pogu noklikšķiniet uz Parametri mapi un izvēlieties Jauns-> DWORD (32 bitu) Vērtība.
4. Nosauciet to EnableAutoDoh .
5. Iestatiet EnableAutoDoh ieraksta vērtību uz 2 .
   

Lai izmaiņas stātos spēkā, dators būs jārestartē.

Lūdzu, ņemiet vērā, ka šīs izmaiņas stāsies spēkā tikai tad, ja izmantosit DNS serverus, kas atbalsta DNS pār HTTPS. Zemāk jūs atradīsit a to publisko DNS pakalpojumu sniedzēju saraksts, kuri atbalsta DoH .

Iepriekšējās Windows 10 versijas, tostarp 1909. un 1903. versija, pēc noklusējuma neatbalsta DoH.

Grupas politikas izmantošana

Es saglabāju šo sadaļu turpmākai lietošanai. Pašlaik nav DNS politikas pār HTTPS grupas politikas noteikumu. Mēs veiksim darbības, kad Microsoft padarīs tās pieejamas operētājsistēmas Windows 10 versijai 2004.

PowerShell (komandrindas) izmantošana

Es saglabāju šo sadaļu turpmākai lietošanai. Ja Microsoft nodrošina veidu, kā iespējot vai atspējot DoH, izmantojot komandrindu, mēs šeit uzskaitīsim darbības.

Kā iespējot vai atspējot DNS pār HTTPS pārlūkprogrammās

Dažas lietojumprogrammas atbalsta sistēmas konfigurētā DNS servera apiešanu un tā vietā izmanto DNS pār HTTPS. Gandrīz visas mūsdienu pārlūkprogrammas vai nu atbalsta DoH, vai arī tuvākajā nākotnē atbalstīs protokolu.

Iespējojiet pārlūkā Google Chrome DNS-over-HTTPS

1. Atveriet Google Chrome un dodieties uz šo URL:
   chrome://settings/security
2. Zem Uzlabota drošība , ieslēgt Izmantojiet drošu DNS .
3. Pēc drošā DNS iespējošanas būs divas iespējas:
   • Ar savu pašreizējo pakalpojumu sniedzēju
   • Ar Google ieteiktajiem pakalpojumu sniedzējiem

Jūs varat izvēlēties visu, kas jums ir piemērots. Otrā iespēja pārspēs jūsu sistēmas DNS iestatījumus.

Iespējojiet drošu DNS pārlūkā Google Chrome

Lai atspējotu DoH, vienkārši pārslēdziet Izmantojiet drošu DNS iestatījumus uz izslēgts .

Iespējojiet pārlūkprogrammā Mozilla Firefox DNS-over-HTTPS

1. Atveriet Firefox un dodieties uz šādu URL:
   about:preferences
2. Zem ģenerālis , iet uz Tīkla iestatījumi un noklikšķiniet uz Iestatījumi pogu. Vai vienkārši nospiediet UN tastatūras taustiņu, lai atvērtu iestatījumus.
3. Ritiniet līdz apakšai un pārbaudiet Iespējot DNS, izmantojot HTTPS .
4. Nolaižamajā izvēlnē varat izvēlēties vēlamo drošo DNS serveri.
   

Microsoft Edge iespējojiet DNS, izmantojot HTTPS

1. Atveriet Microsoft Edge un dodieties uz šādu URL:
   edge://flags/#dns-over-https
2. Izvēlieties Iespējots no blakus esošās nolaižamās izvēlnes Droša DNS meklēšana .
3. Restartējiet pārlūkprogrammu, lai izmaiņas stātos spēkā.
   

Iespējojiet pārlūkprogrammā DNS over-HTTPS

1. Atveriet pārlūku Opera un dodieties uz Iestatījumi (Alt + P).
2. Izvērst Papildu kreisās puses izvēlnē.
3. Sadaļā Sistēma, ieslēgt Sistēmas DNS iestatījumu vietā izmantojiet DNS, izmantojot HTTPS .
4. Restartējiet pārlūkprogrammu, lai izmaiņas stātos spēkā.
   

Drošie DNS iestatījumi nestājās spēkā, kamēr neesmu atspējojis Opera iebūvēto VPN pakalpojumu. Ja jums ir problēmas ar DoH iespējošanu operā, mēģiniet atspējot VPN.

Iespējot DNS, izmantojot HTTPS, pārlūkprogrammā Vivaldi

1. Atveriet pārlūkprogrammu Vivaldi un dodieties uz šādu URL:
   vivaldi://flags/#dns-over-https
2. Izvēlieties Iespējots no blakus esošās nolaižamās izvēlnes Droša DNS meklēšana .
3. Restartējiet pārlūkprogrammu, lai izmaiņas stātos spēkā.
   

Kā iespējot DNS, izmantojot HTTPS operētājsistēmā Android

Android 9 Pie atbalsta DoH iestatījumus. Lai Android tālrunī iespējotu DoH, varat veikt tālāk norādītās darbības.

1. Iet uz Iestatījumi → Tīkls un internets → Papildu → Privāts DNS .
2. Varat iestatīt šo opciju uz Automātiski vai arī pats norādīt drošu DNS nodrošinātāju.
   

Ja nevarat atrast šos iestatījumus savā tālrunī, varat veikt tālāk norādītās darbības.

1. Lejupielādējiet un atveriet lietotni QuickShortcutMaker no Google Play veikala.
2. Dodieties uz Iestatījumi un pieskarieties:
   com.android.settings.Settings$NetworkDashboardActivity

Tas jūs aizvedīs tieši uz tīkla iestatījumu lapu, kur atradīsit drošu DNS opciju.

Kā pārbaudīt, vai izmantojat DNS, izmantojot HTTPS?

Ir divi veidi, kā pārbaudīt, vai DoH ir pareizi iespējots jūsu ierīcē vai pārlūkprogrammā.

Vienkāršākais veids, kā to pārbaudīt, ir doties uz šo pārlūkošanas pieredzes pārbaudes lapu . Noklikšķiniet uz Pārbaudiet manu pārlūkprogrammu pogu.

Sadaļā Drošs DNS jūs saņemsiet šādu ziņojumu, ja izmantojat DoH: | _+_ |

Ja jūs neizmantojat DoH, jūs saņemsit šādu ziņojumu: | _+_ |

Windows 10 versija 2004 arī nodrošina reālā laika pārraudzību ar porta 53 pakotnēm. Tas mums pateiks, vai sistēma izmanto DNS, izmantojot HTTPS, vai mantoto Do53.

1. Atveriet PowerShell ar administratora privilēģijām.
2. Palaidiet šādas komandas:
   pktmon filter remove
   Tādējādi tiek noņemti visi aktīvie filtri, ja tādi ir.
   pktmon filter add -p 53
   Tas pievieno 53. portu, kas jāuzrauga un jāreģistrē.
   pktmon start --etw -m real-time
   Tas sākas ar 53. ostas reāllaika uzraudzību.
   

Ja sarakstā redzat lielu datplūsmu, tas nozīmē, ka DoH3 vietā tiek izmantota mantotā Do53.

Lūdzu, ņemiet vērā, ka iepriekš minētās komandas darbosies tikai operētājsistēmas Windows 10 versijā 2004. Pretējā gadījumā tiks parādīta kļūda: Nezināms parametrs “reāllaiks”

Vārdu serveru saraksts, kas atbalsta DoH

Šeit ir to DNS pakalpojumu sniedzēju saraksts, kuri atbalsta DNS, izmantojot HTTPS.

Nodrošinātājs	Saimnieka nosaukums	IP adrese
AdGuard	dns.adguard.com	176 103 130 130 176 103 130 130
AdGuard	dns-family.adguard.com	176 103 130 130 176 103 130 130
CleanBrowsing	family-filter-dns.cleanbrowsing.org	185,228,168,168 185 228 169 168
CleanBrowsing	pieaugušo filtrs-dns.cleanbrowsing.org	185.228.168.10 185.228.169.11
Mākonis	viens.viens.viens.viens 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Mākonis	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Mākonis	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
NextDNS	dns.nextdns.io	45.90.28.0 45.90.30.0
OpenDNS	dns.opendns.com	208.67.222.222 208.67.220.220
OpenDNS	familyshield.opendns.com	208.67.222.123 208.67.220.123
OpenDNS	sandbox.opendns.com	208.67.222.2 208.67.220.2
Quad9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149,112,112,112

Lai gan DNS, kas pārsniedz HTTPS, padara tīmekli drošāku un ir jāīsteno vienādi visā tīmeklī (piemēram, HTTPS gadījumā), šis protokols sysadminiem radīs murgus.

Sistēmas administratoriem jāatrod veidi, kā bloķēt publiskos DNS pakalpojumus, vienlaikus ļaujot viņu iekšējiem DNS serveriem izmantot DoH. Tas jādara, lai saglabātu pašreizējo uzraudzības aprīkojumu un ierobežojumu politiku visā organizācijā.

Ja esmu kaut ko palaidis garām rakstā, lūdzu, dariet man to zināmu zemāk esošajos komentāros. Ja jums patika raksts un uzzinājāt kaut ko jaunu, lūdzu, kopīgojiet to ar draugiem un sociālajos medijos un abonējiet mūsu biļetenu.