Čo je to DNS-Over-HTTPS a ako to povoliť na vašom zariadení (alebo prehliadači)

Vyskúšajte Náš Nástroj Na Odstránenie Problémov

DNS-over-HTTPS (Secure DNS) je nová technológia, ktorej cieľom je zaistiť bezpečné prehliadanie webu šifrovaním komunikácie medzi klientskym počítačom a serverom DNS.

Tento nový internetový štandard sa široko používa. Zoznam adopcií obsahuje Windows 10 (verzia 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera a Vivaldi.

V tomto článku budeme diskutovať o výhodách a nevýhodách systému DNS-over-HTTPS a o tom, ako povoliť tento protokol vo vašich zariadeniach.

Tiež prediskutujeme, ako otestovať, či je DoH pre vaše zariadenia povolené alebo nie.

Poďme začať. Rýchle zhrnutie skryť sa 1 Jednoduché vysvetlenie systému DNS-over-HTTPS a jeho fungovania 2 Výhody a nevýhody DNS-over-HTTPS 2.1 DoH neumožňuje úplné súkromie používateľa 2.2 DoH sa nevzťahuje na dotazy HTTP 2.3 Nie všetky servery DNS podporujú DoH 2.4 DoH bude pre podniky bolesť hlavy 3 Spomaľuje používanie DNS-over-HTTPS prehliadanie? 4 Ako povoliť alebo zakázať DNS-over-HTTPS v systéme Windows 10 4.1 Použitie registra Windows 4.2 Použitie skupinovej politiky 4.3 Použitie PowerShell (príkazový riadok) 5 Ako povoliť alebo zakázať DNS-over-HTTPS vo vašich prehliadačoch 5.1 V prehliadači Google Chrome povoľte DNS-over-HTTPS 5.2 V prehliadači Mozilla Firefox povoľte DNS-over-HTTPS 5.3 V aplikácii Microsoft Edge povoľte DNS-over-HTTPS 5.4 V prehliadači Opera povoľte DNS-over-HTTPS 5.5 V prehliadači Vivaldi povoľte DNS-over-HTTPS 6 Ako povoliť DNS-over-HTTPS v systéme Android 7 Ako skontrolujete, či používate DNS-over-HTTPS? 8 Zoznam názvových serverov, ktoré podporujú DoH

Jednoduché vysvetlenie systému DNS-over-HTTPS a jeho fungovania

DNS-over-HTTPS (DoH) je protokol na šifrovanie dotazov DNS medzi vašim počítačom a serverom DNS. Prvýkrát bol predstavený v októbri 2018 ( IETF RFC 8484 ) s cieľom zvýšiť bezpečnosť a súkromie používateľov.

Tradičné servery DNS používajú na komunikáciu port DNS 53, zatiaľ čo server DNS-over-HTTPS používa port HTTPS 443 na bezpečnú komunikáciu s klientom.

Upozorňujeme, že hoci je DoH bezpečnostným protokolom, nebráni poskytovateľom internetových služieb sledovať vaše požiadavky. Jednoducho zašifruje údaje dotazu DNS medzi vašim počítačom a ISP, aby sa predišlo problémom, ako je falšovanie, útok typu „man-in-the-middle“ atď.

Poďme to pochopiť na jednoduchom príklade.

DNS funguje takto:

  1. Ak chcete otvoriť názov domény itechtics.com a požiadať o to pomocou svojho prehliadača.
  2. Váš prehliadač odošle požiadavku na server DNS nakonfigurovaný vo vašom systéme, napr. 1.1.1.1.
  3. Rekurzívny rozkladač DNS (1.1.1.1) prejde na koreňové servery domény najvyššej úrovne (TLD) (v našom prípade .com) a požiada o menné servery itechtics.com.
  4. Potom server DNS (1.1.1.1) prejde na menné servery itechtics.com a požiada o IP adresu názvu DNS itechtics.com.
  5. Server DNS (1.1.1.1) prenáša tieto informácie do prehliadača a prehliadač sa pripojí k serveru itechtics.com a dostane odpoveď od servera.

Celá táto komunikácia z vášho počítača na server DNS na servery TLD DNS na menné servery na webovú stránku a späť prebieha vo forme jednoduchých textových správ.

To znamená, že ktokoľvek môže sledovať vašu webovú návštevnosť a ľahko vedieť, aké webové stránky otvárate.

DNS-over-HTTPS šifruje všetku komunikáciu medzi vašim počítačom a serverom DNS, čím je bezpečnejší a menej náchylný na útoky typu „man-in-the-middle“ a na iné spoofingové útoky.

Poďme to pochopiť na vizuálnom príklade:

Keď klient DNS odosiela dotazy DNS na server DNS bez použitia DoH:

DNS cez HTTPS nie je povolené

Keď klient DoH používa protokol DoH na odosielanie prevádzky DNS na server DNS povolený DoH:

DNS cez HTTPS povolené

Tu vidíte, že prenos DNS z klienta na server je šifrovaný a nikto nevie, čo klient požadoval. Šifrovaná je aj odpoveď DNS zo servera.

Výhody a nevýhody DNS-over-HTTPS

Aj keď DNS-over-HTTPS pomaly nahradí starší systém DNS, má svoje vlastné výhody a potenciálne problémy. Poďme diskutovať o niektorých z nich tu.

DoH neumožňuje úplné súkromie používateľa

DoH je ponúkaná ako ďalšia veľká vec v oblasti ochrany osobných údajov a zabezpečenia používateľov, ale podľa môjho názoru je zameraná iba na bezpečnosť používateľov, a nie na súkromie.

Ak viete, ako tento protokol funguje, budete vedieť, že DoH nebráni poskytovateľom internetových služieb v sledovaní požiadaviek DNS používateľa.

Aj keď vás ISP nemôže sledovať pomocou DNS, pretože používate iného verejného poskytovateľa DNS, existuje veľa dátových bodov, ktoré sú poskytovateľom internetových služieb stále otvorené na sledovanie. Napríklad, Polia označenia názvu servera (SNI) a Pripojenia OCSP (Online Certificate Status Protocol) atď.

Ak chcete viac súkromia, mali by ste sa pozrieť na ďalšie technológie, ako je DNS-over-TLS (DoT), DNSCurve, DNSCrypt atď.

DoH sa nevzťahuje na dotazy HTTP

Ak otvárate webovú stránku, ktorá nepracuje pomocou SSL, server DoH sa vráti k staršej technológii DNS (DNS-over-HTTP) známej aj ako Do53.

Ale ak všade používate bezpečnú komunikáciu, DoH je určite lepší ako používanie starých a neistých technológií DNS z holého kovu.

Nie všetky servery DNS podporujú DoH

Existuje veľký počet starších serverov DNS, ktoré bude potrebné aktualizovať, aby podporovali protokol DNS cez HTTPS. Rozšírenie adopcie bude trvať dlho.

Kým nebude tento protokol podporovaný väčšinou serverov DNS, väčšina používateľov bude nútená používať verejné servery DNS ponúkané veľkými organizáciami.

To povedie k ďalším problémom s ochranou súkromia, pretože väčšina údajov DNS bude zhromažďovaná na niekoľkých centralizovaných miestach po celom svete.

Ďalšou nevýhodou skorého prijatia DoH je to, že ak globálny server DNS vypadne, vypne väčšinu používateľov používajúcich server na preklad názvov.

DoH bude pre podniky bolesť hlavy

Aj keď DoH zlepší zabezpečenie, bude to bolieť hlava pre podniky a organizácie, ktoré monitorujú aktivity svojich zamestnancov a používajú nástroje na blokovanie častí webu NSFW (nie je bezpečné pre prácu).

Správcovia siete a systému sa budú ťažko vyrovnávať s novým protokolom.

Spomaľuje používanie DNS-over-HTTPS prehliadanie?

Pri testovaní výkonu oproti staršiemu protokolu Do53 existujú dva aspekty DoH:

  1. Výkon rozlíšenia názvu
  2. Výkon načítania webovej stránky

Výkonnosť rozlíšenia mien je metrika, ktorú používame na výpočet času, ktorý nám server DNS poskytne, aby nám poskytol požadovanú IP adresu servera webovej stránky, ktorú chceme navštíviť.

Výkon načítania webovej stránky je skutočnou metrikou toho, či pri prehliadaní internetu pomocou protokolu DNS-over-HTTPS pociťujeme spomalenie.

Oba tieto testy vykonala spoločnosť samknows a konečným výsledkom je, že medzi DNS-over-HTTPS a staršími protokolmi Do53 je zanedbateľný rozdiel vo výkonnosti.

Môžete si prečítať kompletná prípadová štúdia výkonu so štatistikami na samknows .

Tu sú súhrnné tabuľky pre každú metriku, ktorú sme definovali vyššie. (Kliknutím na obrázok zväčšíte)

Test výkonu rozlíšenia názvu Tabuľka výkonnosti poskytovateľov internetových služieb DoH vs Do53

Tabuľka výkonnosti poskytovateľov internetových služieb DoH vs Do53

Test výkonu načítania webovej stránky Výkon načítania webových stránok DoH vs Do53

Výkon načítania webových stránok DoH vs Do53

Ako povoliť alebo zakázať DNS-over-HTTPS v systéme Windows 10

Windows 10 verzia 2004 bude štandardne dodávaný s povoleným systémom DNS-over-HTTPS. Takže akonáhle bude vydaná ďalšia verzia Windows 10 a inovujete na najnovšiu verziu, nebude potrebné DoH ručne povoliť.

Ak však používate Windows 10 Insider Preview, budete musieť DoH povoliť manuálne pomocou nasledujúcich metód:

Použitie registra Windows

  1. Ísť do Spustiť -> regedit . Tým sa otvorí editor databázy Registry systému Windows.
  2. Otvorte nasledujúci kľúč databázy Registry:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
  3. Kliknite pravým tlačidlom na Parametre priečinok a vyberte Novinka-> DWORD (32-bit) Hodnota.
  4. Pomenujte to EnableAutoDoh .
  5. Nastavte hodnotu položky EnableAutoDoh na 2 .

Aby sa zmeny prejavili, budete musieť reštartovať počítač.

Upozorňujeme, že táto zmena sa prejaví iba vtedy, ak používate servery DNS, ktoré podporujú protokol DNS-over-HTTPS. Nižšie nájdete a zoznam verejných poskytovateľov DNS, ktorí podporujú DoH .

Staršie verzie systému Windows 10 vrátane verzií 1909 a 1903 štandardne nepodporujú DoH.

Použitie skupinovej politiky

Túto sekciu si ponechám na budúce použitie. V súčasnosti neexistujú žiadne pravidlá skupinovej politiky pre server DNS cez protokol HTTPS. Kroky vyplníme, keď ich spoločnosť Microsoft sprístupní pre Windows 10 verzia 2004.

Použitie PowerShell (príkazový riadok)

Túto sekciu si ponechám na budúce použitie. Ak spoločnosť Microsoft poskytuje spôsob, ako povoliť alebo zakázať DoH pomocou príkazového riadka, uvedieme tu kroky.

Ako povoliť alebo zakázať DNS-over-HTTPS vo vašich prehliadačoch

Niektoré aplikácie podporujú obchádzanie servera nakonfigurovaného systémom a namiesto toho používajú DNS-over-HTTPS. Takmer všetky moderné prehliadače buď už podporujú DoH, alebo budú v blízkej budúcnosti podporovať protokol.

V prehliadači Google Chrome povoľte DNS-over-HTTPS

  1. Otvorte prehliadač Google Chrome a prejdite na nasledujúcu adresu URL:
    chrome://settings/security
  2. Pod Pokročilé zabezpečenie , zapnúť Používajte zabezpečené DNS .
  3. Po povolení zabezpečeného DNS budú existovať dve možnosti:
    • S aktuálnym poskytovateľom služieb
    • S poskytovateľmi služieb odporúčanými spoločnosťou Google

Môžete si vybrať, čo vám vyhovuje. Druhá možnosť prekoná nastavenia systému DNS.

V prehliadači Google Chrome povoľte zabezpečené DNS

Ak chcete zakázať DoH, jednoducho prepnite Používajte zabezpečené DNS nastavenia na vypnuté .

V prehliadači Mozilla Firefox povoľte DNS-over-HTTPS

  1. Otvorte Firefox a prejdite na nasledujúcu adresu URL:
    about:preferences
  2. Pod generál , ísť do Nastavenia siete a kliknite na nastavenie tlačidlo. Alebo jednoducho stlačte tlačidlo A klávesu na otvorenie nastavení.
  3. Posuňte zobrazenie nadol a skontrolovať Povoliť DNS cez HTTPS .
  4. V rozbaľovacej ponuke si môžete vybrať preferovaný bezpečný server DNS.

V aplikácii Microsoft Edge povoľte DNS-over-HTTPS

  1. Otvorte Microsoft Edge a prejdite na nasledujúcu adresu URL:
    edge://flags/#dns-over-https
  2. Vyberte Povolené z rozbaľovacieho zoznamu vedľa Zabezpečené vyhľadávanie DNS .
  3. Aby sa zmeny prejavili, reštartujte prehliadač.

V prehliadači Opera povoľte DNS-over-HTTPS

  1. Otvorte prehliadač Opera a prejdite na položku Nastavenia (Alt + P).
  2. Rozbaliť Pokročilé v ponuke na ľavej strane.
  3. V rámci systému, zapnúť Namiesto nastavení DNS systému použite DNS-over-HTTPS .
  4. Aby sa zmeny prejavili, reštartujte prehliadač.

Zabezpečené nastavenia DNS nenadobudli účinnosť, kým som neaktivoval vstavanú službu VPN Opery. Ak máte problémy s povolením DoH v Opere, skúste vypnúť sieť VPN.

V prehliadači Vivaldi povoľte DNS-over-HTTPS

  1. Otvorte prehliadač Vivaldi a prejdite na nasledujúcu adresu URL:
    vivaldi://flags/#dns-over-https
  2. Vyberte Povolené z rozbaľovacieho zoznamu vedľa Zabezpečené vyhľadávanie DNS .
  3. Aby sa zmeny prejavili, reštartujte prehliadač.

Ako povoliť DNS-over-HTTPS v systéme Android

Android 9 Pie podporuje nastavenia DoH. Ak chcete povoliť DoH vo svojom telefóne s Androidom, postupujte nasledovne:

  1. Ísť do Nastavenia → Sieť a internet → Rozšírené → Súkromný DNS .
  2. Túto možnosť môžete buď nastaviť na hodnotu Auto, alebo môžete určiť zabezpečeného poskytovateľa DNS sami.

Ak vo svojom telefóne nemôžete nájsť tieto nastavenia, môžete postupovať podľa nasledujúcich krokov:

  1. Stiahnite si a otvorte aplikáciu QuickShortcutMaker z Obchodu Google Play.
  2. Prejdite na položku Nastavenia a klepnite na:
    com.android.settings.Settings$NetworkDashboardActivity

Tým sa dostanete priamo na stránku s nastaveniami siete, kde nájdete možnosť zabezpečeného DNS.

Ako skontrolujete, či používate DNS-over-HTTPS?

Existujú dva spôsoby, ako skontrolovať, či je funkcia DoH správne povolená pre vaše zariadenie alebo prehliadač.

Najľahší spôsob, ako to skontrolovať, je prejsť na stránku táto stránka kontroly zážitku z prehliadania cloudflare . Kliknite na Skontrolujte môj prehliadač tlačidlo.

V časti Zabezpečené DNS sa vám pri používaní DoH zobrazí nasledujúca správa: | _+_ |

Ak nepoužívate DoH, zobrazí sa vám nasledujúca správa: | _+_ |

Windows 10 verzia 2004 tiež poskytuje spôsob monitorovania paketov portu 53 v reálnom čase. To nám povie, či systém používa DNS-over-HTTPS alebo starší Do53.

  1. Otvorte PowerShell s oprávneniami správcu.
  2. Spustite nasledujúce príkazy:
    pktmon filter remove
    Tým sa odstránia všetky aktívne filtre, ak existujú.
    pktmon filter add -p 53
    Tým sa pridá port 53, ktorý sa má monitorovať a zaznamenávať.
    pktmon start --etw -m real-time
    Začína sa to monitorovaním portu 53 v reálnom čase.

Ak vidíte, že v zozname je zobrazená veľká návštevnosť, znamená to, že namiesto DoH sa používa starý Do53.

Uvedomte si, že vyššie uvedené príkazy budú fungovať iba v systéme Windows 10 verzie 2004. V opačnom prípade sa zobrazí chyba: Neznámy parameter „v reálnom čase“

Zoznam názvových serverov, ktoré podporujú DoH

Tu je zoznam poskytovateľov služieb DNS, ktorí podporujú DNS-over-HTTPS.

Poskytovateľ Meno hosťa IP adresa
AdGuarddns.adguard.com176,103,130,132
176,103,130,134
AdGuarddns-family.adguard.com176,103,130,132
176,103,130,134
CleanBrowsingfamily-filter-dns.cleanbrowsing.org185,228,168,168
185,228,169,168
CleanBrowsingadult-filter-dns.cleanbrowsing.org185,228,168,10
185.228.169.11
Cloudflareone.one.one.one
1dot1dot1dot1.cloudflare-dns.com		1.1.1.1
1.0.0.1
Cloudflaresecurity.cloudflare-dns.com1.1.1.2
1.0.0.2
Cloudflarefamily.cloudflare-dns.com1.1.1.3
1.0.0.3
Googledns.google
google-public-dns-a.google.com
google-public-dns-b.google.com		8.8.8.8
8.8.4.4
ĎalejDNSdns.nextdns.io45,90,28,0
45,90,30,0
OpenDNSdns.opendns.com208,67,222,222
208,67,220,220
OpenDNSfamilyshield.opendns.com208,67,222,123
208,67,220,123
OpenDNSsandbox.opendns.com208,67,222,2
208,67,220,2
Quad9dns.quad9.net
rpz-public-resolver1.rrdns.pch.net		9.9.9.9
149,112,112,112

Aj keď DNS-over-HTTPS robí web bezpečnejším a mal by byť implementovaný jednotne na celom webe (ako v prípade HTTPS), tento protokol poskytne sysadminom nočné mory.

Sysadmins musia nájsť spôsoby, ako blokovať verejné služby DNS, a zároveň umožniť svojim interným serverom DNS používať DoH. To je potrebné urobiť, aby bolo súčasné monitorovacie zariadenie a politiky obmedzení aktívne v celej organizácii.

Ak mi v článku niečo chýba, dajte mi vedieť v nižšie uvedených komentároch. Ak sa vám článok páčil a dozvedeli ste sa niečo nové, zdieľajte ho so svojimi priateľmi a na sociálnych sieťach a prihláste sa na odber nášho spravodajcu.