Шта је ДНС-овер-ХТТПС и како га омогућити на свом уређају (или прегледачу)

ДНС-овер-ХТТПС (Сецуре ДНС) је нова технологија која има за циљ да безбедно прегледавање веба шифрира комуникацију између рачунара клијента и ДНС сервера.



Овај нови Интернет стандард широко се усваја. Листа усвајања укључује Виндовс 10 (верзија 2004), Андроид 9 Пие, Гоогле Цхроме, Мозилла Фирефок, Мицрософт Едге, Опера и Вивалди.

У овом чланку ћемо разговарати о предностима и недостацима ДНС-овер-ХТТПС-а и о томе како омогућити овај протокол на својим уређајима.

Такође ћемо разговарати о томе како да тестирате да ли је ДоХ омогућен за ваше уређаје или не.



Почнимо. Брзи резиме сакрити 1 Једноставно објашњење ДНС-овер-ХТТПС-а и како то функционише 2 Предности и недостаци ДНС-овер-ХТТПС 2.1 ДоХ не омогућава потпуну приватност корисника 2.2 ДоХ се не односи на ХТТП упите 2.3 Не подржавају сви ДНС сервери ДоХ 2.4 ДоХ ће бити главобоља за предузећа 3 Да ли употреба ДНС-овер-ХТТПС успорава прегледавање? 4 Како омогућити или онемогућити ДНС-овер-ХТТПС на Виндовс 10 4.1 Коришћење Виндовс регистра 4.2 Коришћење смерница групе 4.3 Коришћење ПоверСхелл -а (командна линија) 5 Како омогућити или онемогућити ДНС-овер-ХТТПС у прегледачима 5.1 Омогућите ДНС-овер-ХТТПС у Гоогле Цхроме-у 5.2 Омогућите ДНС-овер-ХТТПС у Мозилла Фирефоку 5.3 Омогућите ДНС-овер-ХТТПС у Мицрософт Едге-у 5.4 Омогућите ДНС-овер-ХТТПС у прегледачу Опера 5.5 Омогућите ДНС-овер-ХТТПС у прегледачу Вивалди 6 Како омогућити ДНС-овер-ХТТПС у Андроиду 7 Како проверавате да ли користите ДНС-овер-ХТТПС? 8 Листа сервера имена који подржавају ДоХ

Једноставно објашњење ДНС-овер-ХТТПС-а и како то функционише

ДНС-овер-ХТТПС (ДоХ) је протокол за шифровање ДНС упита између вашег рачунара и ДНС сервера. Први пут је представљен у октобру 2018. ИЕТФ РФЦ 8484 ) са циљем повећања безбедности и приватности корисника.

Традиционални ДНС сервери користе ДНС порт 53 за комуникацију, док ДНС-овер-ХТТПС користи ХТТПС порт 443 за сигурну комуникацију са клијентом.



Имајте на уму да, иако је ДоХ сигурносни протокол, он не спречава ИСП -ове да прате ваше захтеве. Једноставно шифрира податке ДНС упита између вашег рачунара и ИСП-а како би се спречили проблеми попут лажирања, напада „човек у средини“ итд.

Схватимо ово једноставним примером.

Ево како ДНС функционише:

  1. Ако желите да отворите име домена итецхтицс.цом и затражите га помоћу свог прегледача.
  2. Ваш прегледач шаље захтев ДНС серверу конфигурисаном у вашем систему, на пример 1.1.1.1.
  3. ДНС рекурзивни резолутор (1.1.1.1) иде на коренске сервере домена највишег нивоа (ТЛД) (.цом у нашем случају) и тражи сервере имена са итецхтицс.цом.
  4. Затим ДНС сервер (1.1.1.1) одлази на сервере имена итецхтицс.цом и тражи ИП адресу ДНС имена итецхтицс.цом.
  5. ДНС сервер (1.1.1.1) преноси ове информације у прегледач, а прегледач се повезује на итецхтицс.цом и добија одговор од сервера.



Сва ова комуникација од вашег рачунара до ДНС сервера до ТЛД ДНС сервера до сервера имена до веб локације и назад врши се у облику једноставних текстуалних порука.

То значи да свако може пратити ваш веб промет и лако знати које веб локације отварате.



ДНС-овер-ХТТПС шифрира сву комуникацију између вашег рачунара и ДНС сервера чинећи га сигурнијим и мање склоним нападима „посредник у средини“ и другим лажним нападима.

Схватимо ово визуелним примером:

Када ДНС клијент шаље ДНС упите на ДНС сервер без употребе ДоХ:

ДНС преко ХТТПС -а није омогућен

Када ДоХ клијент користи ДоХ протокол за слање ДНС саобраћаја на ДНС сервер са омогућеним ДоХ -ом:

Омогућен ДНС преко ХТТПС -а

Овде можете видети да је ДНС саобраћај од клијента до сервера шифрован и нико не зна шта је клијент захтевао. ДНС одговор са сервера је такође шифрован.

Предности и недостаци ДНС-овер-ХТТПС

Иако ће ДНС-овер-ХТТПС полако заменити стари ДНС систем, он има своје предности и потенцијалне проблеме. Хајде да разговарамо о неким од њих овде.

ДоХ не омогућава потпуну приватност корисника

ДоХ се рекламира као следећа велика ствар у приватности и безбедности корисника, али по мом мишљењу, он је фокусиран само на безбедност корисника, а не и на приватност.

Ако знате како овај протокол функционише, знаћете да ДоХ не спречава ИСП -ове да прате корисничке ДНС захтеве.

Чак и ако вас ИСП не може пратити помоћу ДНС -а јер користите другог јавног ДНС провајдера, постоји много тачака података које су ИСП -у још увек доступне за праћење. На пример, Поља за назнаку имена сервера (СНИ) и Везе мрежног протокола статуса сертификата (ОЦСП) итд.

Ако желите више приватности, требало би да проверите друге технологије попут ДНС-овер-ТЛС (ДоТ), ДНСЦурве, ДНСЦрипт итд.

ДоХ се не односи на ХТТП упите

Ако отварате веб локацију која не ради помоћу ССЛ-а, ДоХ сервер ће се вратити на стару ДНС технологију (ДНС-овер-ХТТП) познату и као До53.

Али ако свуда користите сигурну комуникацију, ДоХ је дефинитивно бољи од употребе старих и несигурних ДНС технологија.

Не подржавају сви ДНС сервери ДоХ

Постоји велики број наслеђених ДНС сервера које је потребно надоградити за подршку ДНС-овер-ХТТПС. Ово ће потрајати дуго за широко усвајање.

Док већина ДНС сервера не подржава овај протокол, већина корисника ће бити приморана да користи јавне ДНС сервере које нуде велике организације.

То ће довести до додатних проблема с приватношћу јер ће се већина ДНС података прикупљати на неколико централизираних локација широм свијета.

Још један недостатак раног усвајања ДоХ -а је то што ако глобални ДНС сервер падне, он ће саплести већину корисника који користе сервер за решавање имена.

ДоХ ће бити главобоља за предузећа

Иако ће ДоХ побољшати безбедност, то ће бити главобоља за предузећа и организације које прате активности својих запослених и користе алате за блокирање НСФВ (није безбедно за рад) делова веба.

Администратори мреже и система тешко ће се носити са новим протоколом.

Да ли употреба ДНС-овер-ХТТПС успорава прегледавање?

Постоје два аспекта ДоХ -а које треба тражити приликом тестирања перформанси према старом До53 протоколу:

  1. Перформансе резолуције имена
  2. Перформансе учитавања веб странице

Перформансе решавања имена су метрика коју користимо за израчунавање времена које је потребно ДНС серверу да нам да потребну ИП адресу сервера веб локације коју желимо да посетимо.

Перформансе учитавања веб страница су стварна метрика да ли осећамо успоравање док прегледавамо Интернет користећи ДНС-овер-ХТТПС протокол.

Оба ова теста обавио је самкновс, а коначни резултат је да постоји занемарљива разлика у перформансама између ДНС-овер-ХТТПС и наслеђених До53 протокола.

Можете прочитати комплетна студија случаја перформанси са статистиком на самкновс .

Ево збирних табела за сваку метрику коју смо горе дефинисали. (Кликните на слику за већи приказ)

Тест перформанси резолуције имена Табела перформанси ДоХ вс До53 ИСП -ова

Табела перформанси ДоХ вс До53 ИСП -ова

Тест перформанси учитавања веб странице Перформансе учитавања ДоХ вс До53 веб странице

Перформансе учитавања ДоХ вс До53 веб странице

Како омогућити или онемогућити ДНС-овер-ХТТПС на Виндовс 10

Виндовс 10 верзија 2004 ће подразумевано имати омогућен ДНС-овер-ХТТПС. Дакле, када се објави следећа верзија оперативног система Виндовс 10 и надоградите на најновију верзију, неће бити потребе за ручним омогућавањем ДоХ -а.

Међутим, ако користите Виндовс 10 Инсидер Превиев, мораћете ручно да омогућите ДоХ помоћу следећих метода:

Коришћење Виндовс регистра

  1. Иди на Покрени -> регедит . Ово ће отворити Виндовс Регистри Едитор.
  2. Отворите следећи кључ регистра:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
  3. Кликните десним тастером миша на Параметри фолдер и изаберите Ново-> ДВОРД (32-битни) Вредност.
  4. Именуј ЕнаблеАутоДох .
  5. Подесите вредност уноса ЕнаблеАутоДох на 2 .

Мораћете да поново покренете рачунар да би промене ступиле на снагу.

Имајте на уму да ће ова промена ступити на снагу само када користите ДНС сервере који подржавају ДНС-овер-ХТТПС. Испод ћете пронаћи а списак јавних ДНС провајдера који подржавају ДоХ .

Раније верзије оперативног система Виндовс 10, укључујући верзије 1909 и 1903, подразумевано не подржавају ДоХ.

Коришћење смерница групе

Чувам овај одељак за будућу употребу. Тренутно не постоје правила групне политике за ДНС-овер-ХТТПС. Кораке ћемо попунити када их Мицрософт стави на располагање за Виндовс 10 Верзија 2004.

Коришћење ПоверСхелл -а (командна линија)

Чувам овај одељак за будућу употребу. Ако Мицрософт обезбеди начин да омогући или онемогући ДоХ помоћу командне линије, овде ћемо навести кораке.

Како омогућити или онемогућити ДНС-овер-ХТТПС у прегледачима

Неке апликације подржавају заобилажење ДНС сервера конфигурисаног системом и уместо тога користе ДНС-овер-ХТТПС. Скоро сви модерни прегледачи већ подржавају ДоХ или ће подржати протокол у блиској будућности.

Омогућите ДНС-овер-ХТТПС у Гоогле Цхроме-у

  1. Отворите Гоогле Цхроме и идите на следећу УРЛ адресу:
    chrome://settings/security
  2. Под Напредна безбедност , укључите Користите сигуран ДНС .
  3. Након омогућавања сигурног ДНС -а, постојаће две опције:
    • Са вашим тренутним провајдером услуга
    • Са добављачима услуга које препоручује Гоогле

Можете изабрати шта вам одговара. Друга опција ће надјачати ДНС поставке вашег система.

Омогућите сигуран ДНС у Гоогле Цхроме -у

Да бисте онемогућили ДоХ, једноставно пребаците на Користите сигуран ДНС подешавања за ван .

Омогућите ДНС-овер-ХТТПС у Мозилла Фирефоку

  1. Отворите Фирефок и идите на следећу УРЛ адресу:
    about:preferences
  2. Под Генерал , Иди на Мрежна подешавања и кликните на Подешавања дугме. Или једноставно притисните И тастер на тастатури за отварање поставки.
  3. Померите се до дна и проверавати Омогућите ДНС преко ХТТПС -а .
  4. Из падајућег менија можете изабрати жељени безбедни ДНС сервер.

Омогућите ДНС-овер-ХТТПС у Мицрософт Едге-у

  1. Отворите Мицрософт Едге и идите на следећу УРЛ адресу:
    edge://flags/#dns-over-https
  2. Изаберите Омогућено са падајућег менија поред Сигурно тражење ДНС -а .
  3. Поново покрените прегледач да би промене ступиле на снагу.

Омогућите ДНС-овер-ХТТПС у прегледачу Опера

  1. Отворите прегледач Опера и идите на Подешавања (Алт + П).
  2. Проширити Адванцед на левом менију.
  3. У оквиру система, укључите Користите ДНС-овер-ХТТПС уместо системских ДНС поставки .
  4. Поново покрените прегледач да би промене ступиле на снагу.

Сигурне ДНС поставке нису ступиле на снагу све док нисам онемогућио уграђену ВПН услугу Опера. Ако имате проблема са омогућавањем ДоХ -а у Опери, покушајте да онемогућите ВПН.

Омогућите ДНС-овер-ХТТПС у прегледачу Вивалди

  1. Отворите прегледач Вивалди и идите на следећу УРЛ адресу:
    vivaldi://flags/#dns-over-https
  2. Изаберите Омогућено са падајућег менија поред Сигурно тражење ДНС -а .
  3. Поново покрените прегледач да би промене ступиле на снагу.

Како омогућити ДНС-овер-ХТТПС у Андроиду

Андроид 9 Пие подржава ДоХ поставке. Можете да следите доле наведене кораке да бисте омогућили ДоХ на свом Андроид телефону:

  1. Иди на Подешавања → Мрежа и интернет → Напредно → Приватни ДНС .
  2. Ову опцију можете поставити на Аутоматски или сами одредити сигурног ДНС провајдера.

Ако не можете да пронађете ова подешавања на телефону, следите доле наведене кораке:

  1. Преузмите и отворите апликацију КуицкСхортцутМакер из Гоогле Плаи продавнице.
  2. Идите у Подешавања и додирните:
    com.android.settings.Settings$NetworkDashboardActivity

Ово ће вас одвести директно на страницу са мрежним поставкама на којој ћете пронаћи опцију сигурног ДНС -а.

Како проверавате да ли користите ДНС-овер-ХТТПС?

Постоје два начина да проверите да ли је ДоХ исправно омогућен за ваш уређај или прегледач.

Најлакши начин да то проверите је да одете на ову страницу за проверу искуства прегледања у облаку . Кликните Проверите Мој прегледач дугме.

У оквиру Сигурни ДНС, ако користите ДоХ, добићете следећу поруку: | _+_ |

Ако не користите ДоХ, добићете следећу поруку: | _+_ |

Виндовс 10 верзија 2004 такође даје начин за надгледање пакета порта 53 у реалном времену. Ово ће нам рећи да ли систем користи ДНС-овер-ХТТПС или стару верзију До53.

  1. Отворите ПоверСхелл са администраторским привилегијама.
  2. Покрените следеће команде:
    pktmon filter remove
    Ово уклања све активне филтере, ако их има.
    pktmon filter add -p 53
    Ово додаје порт 53 за надгледање и евидентирање.
    pktmon start --etw -m real-time
    Ово почиње праћењем порта 53 у реалном времену.

Ако видите да се на листи приказује велики промет, то значи да се стари До53 користи уместо ДоХ -а.

Имајте на уму да ће горе наведене команде радити само у Виндовс 10 верзији 2004. У супротном ће вам дати грешку: Непознат параметар „у реалном времену“

Листа сервера имена који подржавају ДоХ

Ево листе добављача ДНС услуга који подржавају ДНС-овер-ХТТПС.

Провидер Хостнаме ИП адреса
АдГуардднс.адгуард.цом176,103,130,132
176,103,130,134
АдГуардднс-фамили.адгуард.цом176,103,130,132
176,103,130,134
ЦлеанБровсингфамили-филтер-днс.цлеанбровсинг.орг185,228,168,168
185,228,169,168
ЦлеанБровсингадулт-филтер-днс.цлеанбровсинг.орг185.228.168.10
185.228.169.11
Цлоудфлареоне.оне.оне.оне
1дот1дот1дот1.цлоудфларе-днс.цом
1.1.1.1
1.0.0.1
Цлоудфларесецурити.цлоудфларе-днс.цом1.1.1.2
1.0.0.2
Цлоудфларефамили.цлоудфларе-днс.цом1.1.1.3
1.0.0.3
Гоогледнс.гоогле
гоогле-публиц-днс-а.гоогле.цом
гоогле-публиц-днс-б.гоогле.цом
8.8.8.8
8.8.4.4
НектДНСднс.нектднс.ио45.90.28.0
45.90.30.0
ОпенДНСднс.опенднс.цом208.67.222.222
208.67.220.220
ОпенДНСфамилисхиелд.опенднс.цом208.67.222.123
208.67.220.123
ОпенДНСсандбок.опенднс.цом208.67.222.2
208.67.220.2
Куад9днс.куад9.нет
рпз-публиц-ресолвер1.ррднс.пцх.нет
9.9.9.9
149,112,112,112

Иако ДНС-овер-ХТТПС чини веб сигурнијим и требало би да се примењује једнообразно на вебу (као у случају ХТТПС-а), овај протокол ће задати ноћне море системским администраторима.

Сисадмини морају да пронађу начине да блокирају јавне ДНС услуге док омогућавају својим интерним ДНС серверима да користе ДоХ. Ово треба учинити како би тренутна опрема за праћење и политике ограничења остали активни у целој организацији.

Ако сам нешто пропустио у чланку, јавите ми у коментарима испод. Ако вам се чланак допао и научили сте нешто ново, поделите га са пријатељима и на друштвеним мрежама и претплатите се на наш билтен.