Što je DNS-Over-HTTPS i kako ga omogućiti na svom uređaju (ili pregledniku)

Isprobajte Naš Instrument Za Uklanjanje Problema

DNS-over-HTTPS (Secure DNS) nova je tehnologija koja ima za cilj učiniti pregledavanje weba sigurnim šifriranjem komunikacije između klijentskog računala i DNS poslužitelja.

Ovaj novi internetski standard široko se usvaja. Popis usvajanja uključuje Windows 10 (verzija 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera i Vivaldi.

U ovom ćemo članku raspravljati o prednostima i nedostacima DNS-over-HTTPS-a i o tome kako omogućiti ovaj protokol na svojim uređajima.

Također ćemo razgovarati o tome kako provjeriti je li DoH omogućen za vaše uređaje ili ne.

Započnimo. Brzi sažetak sakriti 1 Jednostavno objašnjenje DNS-over-HTTPS-a i kako to funkcionira 2 Prednosti i nedostaci DNS-over-HTTPS-a 2.1 DoH ne omogućuje potpunu privatnost korisnika 2.2 DoH se ne odnosi na HTTP upite 2.3 Ne podržavaju svi DNS poslužitelji DoH 2.4 DoH će biti glavobolja za poduzeća 3 Usporava li korištenje DNS-over-HTTPS pregledavanje? 4 Kako omogućiti ili onemogućiti DNS-over-HTTPS u sustavu Windows 10 4.1 Korištenje registra sustava Windows 4.2 Korištenje pravila grupe 4.3 Korištenje PowerShell -a (naredbeni redak) 5 Kako omogućiti ili onemogućiti DNS-over-HTTPS u vašim preglednicima 5.1 Omogućite DNS-over-HTTPS u Google Chromeu 5.2 Omogućite DNS-over-HTTPS u Mozilla Firefoxu 5.3 Omogućite DNS-over-HTTPS u Microsoft Edgeu 5.4 Omogućite DNS-over-HTTPS u pregledniku Opera 5.5 Omogućite DNS-over-HTTPS u pregledniku Vivaldi 6 Kako omogućiti DNS-over-HTTPS u Androidu 7 Kako provjeravate upotrebljavate li DNS-over-HTTPS? 8 Popis poslužitelja imena koji podržavaju DoH

Jednostavno objašnjenje DNS-over-HTTPS-a i kako to funkcionira

DNS-over-HTTPS (DoH) je protokol za šifriranje DNS upita između vašeg računala i DNS poslužitelja. Prvi put je predstavljen u listopadu 2018. IETF RFC 8484 ) s ciljem povećanja sigurnosti i privatnosti korisnika.

Tradicionalni DNS poslužitelji koriste DNS port 53 za komunikaciju, dok DNS-over-HTTPS koristi HTTPS port 443 za sigurnu komunikaciju s klijentom.

Imajte na umu da, iako je DoH sigurnosni protokol, ne sprječava ISP -ove da prate vaše zahtjeve. Jednostavno šifrira podatke DNS upita između vašeg računala i ISP-a kako bi se spriječili problemi poput lažiranja, napada čovjeka u sredini itd.

Shvatimo to jednostavnim primjerom.

Evo kako DNS funkcionira:

  1. Ako želite otvoriti naziv domene itechtics.com i zatražiti ga putem preglednika.
  2. Vaš preglednik šalje zahtjev DNS poslužitelju konfiguriranom u vašem sustavu, npr. 1.1.1.1.
  3. DNS rekurzivni razrješivač (1.1.1.1) ide do korijenskih poslužitelja domene najviše razine (TLD) (.com u našem slučaju) i traži poslužitelje imena itechtics.com.
  4. Zatim DNS poslužitelj (1.1.1.1) odlazi na poslužitelje imena itechtics.com i traži IP adresu DNS imena itechtics.com.
  5. DNS poslužitelj (1.1.1.1) prenosi te podatke u preglednik, a preglednik se povezuje na itechtics.com i dobiva odgovor od poslužitelja.

Sva ova komunikacija s vašeg računala na DNS poslužitelj do TLD DNS poslužitelja na poslužitelje imena do web stranice i natrag obavlja se u obliku jednostavnih tekstualnih poruka.

To znači da svatko može pratiti vaš web promet i lako znati koja web mjesta otvarate.

DNS-over-HTTPS šifrira svu komunikaciju između vašeg računala i DNS poslužitelja čineći ga sigurnijim i manje sklonim napadima 'posrednik u sredini' i drugim lažnim napadima.

Shvatimo to vizualnim primjerom:

Kada DNS klijent šalje DNS upite na DNS poslužitelj bez upotrebe DoH -a:

DNS preko HTTPS -a nije omogućen

Kada DoH klijent koristi DoH protokol za slanje DNS prometa na DNS poslužitelj s omogućenim DoH -om:

Omogućen DNS preko HTTPS -a

Ovdje možete vidjeti da je DNS promet od klijenta do poslužitelja šifriran i nitko ne zna što je klijent zatražio. DNS odgovor s poslužitelja također je šifriran.

Prednosti i nedostaci DNS-over-HTTPS-a

Iako će DNS-over-HTTPS polako zamijeniti naslijeđeni DNS sustav, on ima svoje prednosti i potencijalne probleme. Razgovarajmo o nekima od njih ovdje.

DoH ne omogućuje potpunu privatnost korisnika

DoH se reklamira kao sljedeća velika stvar u privatnosti i sigurnosti korisnika, ali po mom mišljenju, on je usredotočen samo na sigurnost korisnika, a ne i na privatnost.

Ako znate kako ovaj protokol funkcionira, znat ćete da DoH ne sprječava ISP -ove da prate DNS zahtjeve korisnika.

Čak i ako vas davatelj internetskih usluga ne može pratiti pomoću DNS -a jer koristite drugog javnog davatelja usluga DNS -a, postoji mnogo podatkovnih točaka koje su davateljima internetskih usluga još uvijek dostupne za praćenje. Na primjer, Polja s naznakom naziva poslužitelja (SNI) i Povezivanja mrežnog protokola statusa certifikata (OCSP) itd.

Ako želite više privatnosti, trebali biste provjeriti druge tehnologije poput DNS-over-TLS (DoT), DNSCurve, DNSCrypt itd.

DoH se ne odnosi na HTTP upite

Ako otvarate web stranicu koja ne radi pomoću SSL-a, DoH poslužitelj će se vratiti na naslijeđenu DNS tehnologiju (DNS-over-HTTP) poznatu i kao Do53.

Ali ako svugdje koristite sigurnu komunikaciju, DoH je definitivno bolji od korištenja golih metalnih i nesigurnih DNS tehnologija.

Ne podržavaju svi DNS poslužitelji DoH

Postoji veliki broj naslijeđenih DNS poslužitelja koje je potrebno nadograditi kako bi podržali DNS-over-HTTPS. To će potrajati dugo za široko usvajanje.

Dok većina DNS poslužitelja ne podržava ovaj protokol, većina korisnika bit će prisiljena koristiti javne DNS poslužitelje koje nude velike organizacije.

To će dovesti do dodatnih problema s privatnošću jer će se većina DNS podataka prikupljati na nekoliko centraliziranih lokacija širom svijeta.

Još jedan nedostatak ranog usvajanja DoH -a je taj što ako globalni DNS poslužitelj padne, spotaknut će većinu korisnika koji koriste poslužitelj za razrješavanje imena.

DoH će biti glavobolja za poduzeća

Iako će DoH poboljšati sigurnost, to će biti glavobolja za poduzeća i organizacije koje prate aktivnosti svojih zaposlenika i koriste alate za blokiranje dijelova weba s NSFW (nije sigurno za rad).

Administratori mreže i sustava teško će se nositi s novim protokolom.

Usporava li korištenje DNS-over-HTTPS pregledavanje?

Postoje dva aspekta DoH -a koje treba tražiti prilikom testiranja performansi prema naslijeđenom Do53 protokolu:

  1. Performanse razlučivanja imena
  2. Performanse učitavanja web stranice

Uspješnost razrješenja naziva je metrika koju koristimo za izračunavanje vremena koje je potrebno DNS poslužitelju da nam da potrebnu IP adresu poslužitelja web stranice koju želimo posjetiti.

Performanse učitavanja web stranica stvarna su mjerna vrijednost o tome osjećamo li usporavanje dok pregledavamo Internet koristeći DNS-over-HTTPS protokol.

Oba su ispitivanja obavila samknows, a konačni rezultat je da postoji zanemariva razlika u performansama između DNS-over-HTTPS-a i naslijeđenih Do53 protokola.

Možete pročitati potpuna studija slučaja izvedbe sa statistikom na samknows .

Evo sažetih tablica za svaku metriku koju smo gore definirali. (Kliknite na sliku za veći prikaz)

Test uspješnosti razlučivanja imena Tablica izvedbe DoH vs Do53 ISP -ova

Tablica izvedbe DoH vs Do53 ISP -ova

Test učinkovitosti učitavanja web stranice DoH vs Do53 performanse učitavanja web stranice

DoH vs Do53 performanse učitavanja web stranice

Kako omogućiti ili onemogućiti DNS-over-HTTPS u sustavu Windows 10

Windows 10 verzija 2004 će prema zadanim postavkama imati omogućen DNS-over-HTTPS. Dakle, kad se objavi sljedeća verzija sustava Windows 10 i nadogradite na najnoviju verziju, nećete morati ručno omogućiti DoH.

Međutim, ako koristite Windows 10 Insider Preview, morat ćete ručno omogućiti DoH pomoću sljedećih metoda:

Korištenje registra sustava Windows

  1. Ići Pokreni -> regedit . Ovo će otvoriti Windows Registry Editor.
  2. Otvorite sljedeći ključ registra:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
  3. Desnom tipkom miša kliknite Parametri mapu i odaberite Novo-> DWORD (32-bitni) Vrijednost.
  4. Imenuj EnableAutoDoh .
  5. Postavite vrijednost unosa EnableAutoDoh na 2 .

Morat ćete ponovno pokrenuti računalo da bi promjene stupile na snagu.

Imajte na umu da će ova promjena stupiti na snagu samo kada koristite DNS poslužitelje koji podržavaju DNS-over-HTTPS. Ispod ćete pronaći a popis javnih davatelja DNS usluga koji podržavaju DoH .

Ranije verzije sustava Windows 10, uključujući verzije 1909 i 1903, prema zadanim postavkama ne podržavaju DoH.

Korištenje pravila grupe

Ovaj odjeljak čuvam za buduću upotrebu. Trenutno ne postoje pravila grupnih pravila za DNS-over-HTTPS. Korake ćemo ispuniti kada ih Microsoft učini dostupnima za Windows 10 Verzija 2004.

Korištenje PowerShell -a (naredbeni redak)

Ovaj odjeljak čuvam za buduću upotrebu. Ako Microsoft nudi način za omogućavanje ili onemogućavanje DoH -a pomoću naredbenog retka, ovdje ćemo navesti korake.

Kako omogućiti ili onemogućiti DNS-over-HTTPS u vašim preglednicima

Neke aplikacije podržavaju zaobilaženje DNS poslužitelja konfiguriranog u sustavu i umjesto toga koriste DNS-over-HTTPS. Gotovo svi moderni preglednici već podržavaju DoH ili će podržati protokol u bliskoj budućnosti.

Omogućite DNS-over-HTTPS u Google Chromeu

  1. Otvorite Google Chrome i idite na sljedeći URL:
    chrome://settings/security
  2. Pod, ispod Napredna sigurnost , uključite Koristite siguran DNS .
  3. Nakon omogućavanja sigurnog DNS -a, postojat će dvije mogućnosti:
    • S vašim trenutnim davateljem usluga
    • S Googleovim preporučenim pružateljima usluga

Možete odabrati sve što vam odgovara. Druga opcija će nadjačati DNS postavke vašeg sustava.

Omogućite siguran DNS u Google Chromeu

Da biste onemogućili DoH, jednostavno uključite Koristite siguran DNS postavke za isključeno .

Omogućite DNS-over-HTTPS u Mozilla Firefoxu

  1. Otvorite Firefox i idite na sljedeći URL:
    about:preferences
  2. Pod, ispod Općenito , ići Mrežne postavke i kliknite na Postavke dugme. Ili jednostavno pritisnite I tipkovnica za otvaranje postavki.
  3. Pomaknite se do dna i ček Omogućite DNS putem HTTPS -a .
  4. S padajućeg izbornika možete odabrati željeni siguran DNS poslužitelj.

Omogućite DNS-over-HTTPS u Microsoft Edgeu

  1. Otvorite Microsoft Edge i idite na sljedeći URL:
    edge://flags/#dns-over-https
  2. Odaberi Omogućeno s padajućeg izbornika pokraj Sigurno traženje DNS -a .
  3. Ponovo pokrenite preglednik da bi promjene stupile na snagu.

Omogućite DNS-over-HTTPS u pregledniku Opera

  1. Otvorite preglednik Opera i idite na Postavke (Alt + P).
  2. Proširiti Napredna na izborniku s lijeve strane.
  3. U okviru sustava, uključite Koristite DNS-over-HTTPS umjesto DNS postavki sustava .
  4. Ponovo pokrenite preglednik da bi promjene stupile na snagu.

Sigurne DNS postavke nisu stupile na snagu sve dok nisam onemogućio ugrađenu VPN uslugu Opere. Ako imate problema s omogućavanjem DoH -a u Operi, pokušajte onemogućiti VPN.

Omogućite DNS-over-HTTPS u pregledniku Vivaldi

  1. Otvorite preglednik Vivaldi i idite na sljedeći URL:
    vivaldi://flags/#dns-over-https
  2. Odaberi Omogućeno s padajućeg izbornika pokraj Sigurno traženje DNS -a .
  3. Ponovo pokrenite preglednik da bi promjene stupile na snagu.

Kako omogućiti DNS-over-HTTPS u Androidu

Android 9 Pie podržava DoH postavke. Da biste omogućili DoH na svom Android telefonu, možete slijediti donje korake:

  1. Ići Postavke → Mreža i internet → Napredno → Privatni DNS .
  2. Ovu opciju možete postaviti na Automatski ili sami odrediti sigurnog DNS davatelja usluga.

Ako ne možete pronaći ove postavke na svom telefonu, slijedite korake u nastavku:

  1. Preuzmite i otvorite aplikaciju QuickShortcutMaker iz Trgovine Google Play.
  2. Idite na Postavke i dodirnite:
    com.android.settings.Settings$NetworkDashboardActivity

Ovo će vas odvesti izravno na stranicu s mrežnim postavkama gdje ćete pronaći opciju sigurnog DNS -a.

Kako provjeravate upotrebljavate li DNS-over-HTTPS?

Postoje dva načina da provjerite je li DoH ispravno omogućen za vaš uređaj ili preglednik.

Najlakši način da to provjerite jest otići na ovu stranicu za provjeru iskustva pregledavanja u oblaku . Kliknite na Provjerite Moj preglednik dugme.

U odjeljku Sigurni DNS dobit ćete sljedeću poruku ako koristite DoH: | _+_ |

Ako ne koristite DoH, dobit ćete sljedeću poruku: | _+_ |

Windows 10 verzija 2004 također daje način za praćenje paketa porta 53 u stvarnom vremenu. To će nam reći koristi li sustav DNS-over-HTTPS ili naslijeđeni Do53.

  1. Otvorite PowerShell s administratorskim ovlastima.
  2. Pokrenite sljedeće naredbe:
    pktmon filter remove
    Time se uklanjaju svi aktivni filtri, ako postoje.
    pktmon filter add -p 53
    Ovo dodaje port 53 za nadgledanje i bilježenje.
    pktmon start --etw -m real-time
    Ovo počinje praćenjem priključka 53 u stvarnom vremenu.

Ako vidite mnogo prometa na popisu, to znači da se naslijeđeni Do53 koristi umjesto DoH -a.

Imajte na umu da će gore navedene naredbe raditi samo u sustavu Windows 10 Verzija 2004. U protivnom će vam se prikazati pogreška: Nepoznat parametar 'u stvarnom vremenu'

Popis poslužitelja imena koji podržavaju DoH

Ovdje je popis pružatelja DNS usluga koji podržavaju DNS-over-HTTPS.

Pružatelj usluga Naziv hosta IP adresa
AdGuarddns.adguard.com176,103,130,132
176,103,130,134
AdGuarddns-family.adguard.com176,103,130,132
176,103,130,134
CleanBrowingfamily-filter-dns.cleanbrowsing.org185,228,168,168
185,228,169,168
CleanBrowingadult-filter-dns.cleanbrowsing.org185.228.168.10
185.228.169.11
Cloudflarejedan.jedan.jedan.jedan
1dot1dot1dot1.cloudflare-dns.com		1.1.1.1
1.0.0.1
Cloudflaresecurity.cloudflare-dns.com1.1.1.2
1.0.0.2
Cloudflareobitelj.cloudflare-dns.com1.1.1.3
1.0.0.3
Googledns.google
google-public-dns-a.google.com
google-public-dns-b.google.com		8.8.8.8
8.8.4.4
DaljeDNSdns.nextdns.io45,90,28,0
45.90.30.0
OpenDNSdns.opendns.com208.67.222.222
208.67.220.220
OpenDNSfamilyshield.opendns.com208.67.222.123
208.67.220.123
OpenDNSsandbox.opendns.com208.67.222.2
208.67.220.2
Quad9dns.quad9.net
rpz-public-resolver1.rrdns.pch.net		9.9.9.9
149,112,112,112

Iako DNS-over-HTTPS čini web sigurnijim i treba ga ujednačeno implementirati na webu (kao u slučaju HTTPS-a), ovaj protokol će zadati noćne more sistemskim administratorima.

Sysadmini moraju pronaći načine za blokiranje javnih DNS usluga, a istovremeno omogućiti svojim internim DNS poslužiteljima korištenje DoH-a. To je potrebno učiniti kako bi trenutna oprema za praćenje i politike ograničenja ostali aktivni u cijeloj organizaciji.

Ako sam nešto propustio u članku, javite mi u komentarima ispod. Ako vam se članak svidio i naučili ste nešto novo, podijelite ga s prijateljima i na društvenim mrežama te se pretplatite na naš bilten.