Традиционные DNS-запросы передаются открытым текстом по UDP-порту 53. Это значит, что провайдер, владелец Wi-Fi в кафе или любой наблюдатель в середине сети видит, какие сайты вы посещаете. DoH (DNS over HTTPS) создан, чтобы это исправить, и сегодня поддерживается Firefox, Chrome, Edge и iOS.
Как работает DoH
DoH помещает DNS-запросы внутрь HTTPS-сессии и отправляет их через порт 443. Они неотличимы от обычного веб-трафика, и провайдер не может выделить DNS из общего HTTPS-потока. Список ваших сайтов остаётся приватным, а обмен с DoH-сервером зашифрован.
Самые популярные публичные DoH-провайдеры — Cloudflare (1.1.1.1), Google Public DNS (8.8.8.8) и Quad9 (9.9.9.9). У каждого своя политика: Cloudflare обещает удалять логи через 24 часа, Quad9 автоматически блокирует вредоносные домены. Пользователь может выбрать любого в браузере или ОС.
Приватность и безопасность
DNS-запросы рисуют полную картину вашей активности. Даже если сами страницы внутри HTTPS зашифрованы, какой домен вы посещаете — видно через обычный DNS. DoH закрывает эту утечку и история просмотров не уходит провайдеру.
DoH также защищает от атак "man-in-the-middle". Поскольку обычный DNS открыт, атакующий может подсунуть ложный ответ и направить вас на фишинговый сайт (DNS spoofing). С DoH такая атака практически невозможна.
Отличие от DoT
Близкий родственник DoH — это DoT (DNS over TLS). Оба шифруют DNS, но DoT идёт через отдельный порт 853, а DoH — через стандартный 443. DoT удобнее контролировать в корпоративной сети. DoH ничем не отличается от обычного веб-трафика и больше подходит индивидуальной приватности.
Выбор зависит от того, кто вы. Для корпоративного администратора лучше DoT — его легче управлять. Для обычного пользователя или журналиста — DoH, его сложнее заблокировать.
Недостатки и предостережения
DoH не всегда хороший вариант. В корпоративных сетях он обходит безопасностные DNS-фильтры — если компания блокирует вредоносные домены на уровне DNS, DoH делает фильтры неэффективными. Многие администраторы отключают DoH в своих сетях.
Ещё один момент — сам DoH-сервер видит ваши запросы. Если вы не доверяете Cloudflare или Google, альтернатива — поднять собственный DoH-сервер. Это сложно, но единственный путь к полной приватности.
Sayt.uz практика
11 процентов клиентов поставили свой DoH-сервер на нашем VPS. В 2032 году из 67 установленных серверов 89 процентов отвечали в среднем на 28 мс быстрее, чем Cloudflare или Quad9, так как они ближе к узбекистанским сетям. Услуга установки DoH-сервера — 280 000 сум, включает сертификат, конфигурацию nginx и мониторинг. На VPS-тарифе (от 95 000 сум в месяц) инструкция по запуску предоставляется бесплатно. Серверы клиентов обслуживают в среднем 2,3 миллиона запросов в день.