Kas yra DNS per HTTPS ir kodėl tai svarbu
Interneto naudojimas šiais laikais yra tapęs kasdienybe, tačiau nedaugelis žmonių susimąsto, kaip iš tikrųjų veikia tinklų infrastruktūra. Vienas iš svarbiausių, bet dažnai nepastebimų elementų yra DNS – domenų vardų sistema. Kiekvieną kartą, kai naršyklėje įvedate svetainės adresą, DNS serveris paverčia tą žmogui suprantamą pavadinimą į IP adresą, kurį supranta kompiuteriai.
Problema ta, kad tradicinis DNS protokolas yra visiškai nešifruotas. Tai reiškia, kad bet kas tinkle – jūsų interneto paslaugų teikėjas, viešojo Wi-Fi operatorius ar net kenkėjiški aktoriai – gali matyti, kokias svetaines lankote. Nors jie nemato, ką konkrečiai darote tose svetainėse (jei jos naudoja HTTPS), pats lankytų domenų sąrašas gali atskleisti daug informacijos apie jus.
DNS over HTTPS (DoH) sprendžia šią problemą, apgaubdamas DNS užklausas šifruotu HTTPS sluoksniu. Tai tas pats šifravimas, kurį naudoja bankai ir el. parduotuvės, tik pritaikytas DNS srautui. Rezultatas? Jūsų naršymo istorija tampa daug privačiau, o trečiosios šalys negali lengvai sekti, kokias svetaines lankote.
Kaip DoH veikia techniškai
Tradicinis DNS veikia per 53 prievadą naudodamas UDP protokolą. Užklausa išsiunčiama atvirą tekstu, o atsakymas grįžta taip pat nešifruotas. Bet kuris tarpininkas tinkle gali perimti šį srautą, jį analizuoti ar net modifikuoti – tai vadinama DNS spoofing ataka.
DNS over HTTPS veikia visiškai kitaip. Užuot naudojęs specialų prievadą, DoH naudoja standartinį 443 HTTPS prievadą. DNS užklausos yra įpakuojamos į HTTPS užklausas, kurios atrodo kaip bet koks kitas šifruotas interneto srautas. Tai suteikia du esminius privalumus: pirma, niekas negali matyti, kokių domenų ieškote; antra, DoH srautas neišsiskiria tinkle ir negali būti lengvai blokuojamas.
Techniškai DoH gali naudoti du metodus: GET ir POST užklausas. GET metodas koduoja DNS užklausą tiesiog URL adrese, o POST metodas siunčia ją užklausos kūne. Dauguma implementacijų palaiko abu metodus, nors POST yra šiek tiek efektyvesnis didesnėms užklausoms.
DoH konfigūravimas populiariausiose naršyklėse
Gera žinia ta, kad šiuolaikinės naršyklės jau turi integruotą DoH palaikymą. Nereikia jokių papildomų programų ar sudėtingų konfigūracijų.
Mozilla Firefox buvo viena iš pirmųjų naršyklių, kuri agresyviai pradėjo diegti DoH. Norėdami jį įjungti, eikite į Settings → Privacy & Security ir slinkite žemyn iki „DNS over HTTPS” sekcijos. Čia galite pasirinkti „Max Protection” režimą, kuris visada naudos DoH, arba „Increased Protection”, kuris grįš prie tradicinio DNS, jei DoH nepasiekiamas.
Firefox pagal nutylėjimą siūlo Cloudflare (1.1.1.1) ir NextDNS serverius, bet galite pridėti ir savo pasirinktą DoH serverį. Tiesiog įveskite pilną DoH URL adresą, pavyzdžiui: https://dns.google/dns-query arba https://dns.quad9.net/dns-query.
Google Chrome ir Microsoft Edge (kuris taip pat paremtas Chromium) turi šiek tiek kitokį požiūrį. Jie automatiškai naudoja DoH, jei jūsų sistemos DNS serveris palaiko šį protokolą. Eikite į Settings → Privacy and security → Security ir įjunkite „Use secure DNS”. Galite pasirinkti automatinį režimą arba rankiniu būdu nurodyti DoH teikėją.
Chrome palaiko populiarius teikėjus kaip Google DNS, Cloudflare, Quad9 ir kitus. Jei norite naudoti konkretų serverį, pasirinkite „Custom” ir įveskite teikėjo adresą.
Safari naudotojams situacija šiek tiek sudėtingesnė. macOS 11 Big Sur ir naujesni palaiko DoH sistemų lygmeniu, bet tai reikia konfigūruoti per specialius profilius. Apple nesuteikia paprastos grafinės sąsajos šiam nustatymui, todėl dauguma naudotojų renkasi trečiųjų šalių sprendimus arba konfigūruoja DoH maršrutizatoriaus lygmeniu.
Sistemos lygio DoH konfigūravimas
Jei norite, kad visos jūsų kompiuterio programos naudotų DoH, o ne tik naršyklė, reikia konfigūruoti sistemą.
Windows 11 turi integruotą DoH palaikymą. Eikite į Settings → Network & Internet → Wi-Fi (arba Ethernet) → Hardware properties. Paspaudę „Edit” prie DNS server assignment, galite įvesti DoH palaikančio serverio IP adresą. Windows automatiškai aptiks, ar serveris palaiko DoH, ir pradės jį naudoti. Populiarūs pasirinkimai: 1.1.1.1 (Cloudflare), 8.8.8.8 (Google), 9.9.9.9 (Quad9).
Svarbu pažymėti, kad Windows 10 taip pat palaiko DoH, bet tik nuo 2020 metų gegužės atnaujinimo (versija 2004). Konfigūracija beveik identiška.
macOS naudotojams reikia kurti konfigūracijos profilius. Tai gali skambėti bauginančiai, bet iš tikrųjų nėra taip sudėtinga. Galite naudoti tokius įrankius kaip DNSCrypt arba atsisiųsti paruoštus profilius iš patikimų šaltinių. Pavyzdžiui, Cloudflare siūlo paruoštą profilį savo 1.1.1.1 paslaugai.
Alternatyvus būdas – naudoti programas kaip DNSCloak ar Stubby, kurios veikia fone ir nukreipia visą DNS srautą per DoH. Šios programos paprastai turi grafinę sąsają ir yra daug patogesnės nei rankinis profilių kūrimas.
Linux sistemose galite naudoti systemd-resolved (jei jūsų distribucija jį palaiko) arba įdiegti Stubby – lengvą DoH klientą. Stubby konfigūracija yra paprasta: įdiekite paketą, redaguokite /etc/stubby/stubby.yml failą, nurodydami norimus DoH serverius, ir paleiskite servisą. Pavyzdžiui, Cloudflare konfigūracija atrodytų taip:
upstream_recursive_servers:
- address_data: 1.1.1.1
tls_auth_name: "cloudflare-dns.com"
- address_data: 1.0.0.1
tls_auth_name: "cloudflare-dns.com"
DoH maršrutizatoriuje – apsauga visam namų tinklui
Jei norite apsaugoti visus įrenginius namuose – išmaniuosius telefonus, planšetes, IoT įrenginius – geriausia konfigūruoti DoH maršrutizatoriuje. Tai vienas konfigūravimas, kuris veikia visam tinklui.
Deja, dauguma standartinių maršrutizatorių, kuriuos teikia interneto paslaugų teikėjai, nepalaiko DoH. Tačiau jei turite šiek tiek pažangesnį maršrutizatorių arba esate įdiegę alternatyvią firmware kaip OpenWrt, DD-WRT ar pfSense, galimybės atsiveria plačios.
OpenWrt naudotojams rekomenduoju įdiegti https-dns-proxy paketą. Tai lengvas sprendimas, kuris veikia kaip tarpininkas tarp jūsų tinklo įrenginių ir DoH serverių. Įdiegimas paprastas per komandų eilutę:
opkg update
opkg install https-dns-proxy
Po įdiegimo galite konfigūruoti paslaugą per LuCI web sąsają arba tiesiogiai redaguodami konfigūracijos failą. Nurodykite norimus DoH serverius ir įsitikinkite, kad dnsmasq nukreipia užklausas į https-dns-proxy.
pfSense naudotojai gali įdiegti DNSCrypt-Proxy paketą iš Package Manager. Šis sprendimas palaiko ne tik DoH, bet ir DNSCrypt protokolą. Konfigūracija atliekama per web sąsają – tiesiog pasirinkite norimus serverius iš iš anksto sukonfigūruotų sąrašų arba pridėkite savo.
Svarbus niuansas: kai konfigūruojate DoH maršrutizatoriuje, įsitikinkite, kad išjungėte DNS proxy funkciją, jei ji yra įjungta. Priešingu atveju maršrutizatorius gali tarpininkauti DNS užklausoms nenaudodamas DoH, ir visa jūsų konfigūracija bus beprasmė.
Mobiliųjų įrenginių konfigūravimas
Išmanieji telefonai ir planšetės taip pat gali naudoti DoH, nors metodai šiek tiek skiriasi nuo stacionarių kompiuterių.
Android įrenginiuose nuo versijos 9 (Pie) yra „Private DNS” funkcija, kuri palaiko DNS over TLS (DoT) – panašų, bet šiek tiek kitokį protokolą nei DoH. Eikite į Settings → Network & Internet → Advanced → Private DNS ir pasirinkite „Private DNS provider hostname”. Įveskite serverio adresą, pavyzdžiui: one.one.one.one (Cloudflare) arba dns.google (Google DNS).
Jei būtinai norite naudoti DoH (o ne DoT), galite įdiegti programas kaip Cloudflare 1.1.1.1, NextDNS ar Intra (nuo Google). Šios programos sukuria VPN tunelį įrenginyje ir nukreipia visą DNS srautą per DoH. Nors tai techniškai VPN, jūsų interneto srautas nėra nukreipiamas per trečiųjų šalių serverius – tik DNS užklausos.
iOS ir iPadOS įrenginiuose situacija panaši į macOS – reikia įdiegti konfigūracijos profilius. Tačiau čia yra lengviau: daugelis DoH teikėjų siūlo paprastą būdą įdiegti profilį tiesiog atidarant nuorodą Safari naršyklėje. Pavyzdžiui, Cloudflare turi puslapį 1.1.1.1/dns, kur galite atsisiųsti ir įdiegti profilį vienu paspaudimu.
Alternatyviai galite naudoti programas kaip DNSCloak ar Cloudflare 1.1.1.1, kurios veikia panašiai kaip Android versijos – per VPN profilį.
Populiariausi DoH teikėjai ir jų skirtumai
Ne visi DoH serveriai yra vienodi. Skiriasi ne tik greitis ir patikimumas, bet ir privatumo politika, papildomos funkcijos ir geografinė padėtis.
Cloudflare (1.1.1.1) yra vienas populiariausių pasirinkimų. Jie žada niekada neregistruoti jūsų IP adreso ilgiau nei 24 valandas ir nesinaudoti duomenimis reklamoms. DoH endpoint: https://cloudflare-dns.com/dns-query. Cloudflare taip pat siūlo šeimoms pritaikytą versiją (1.1.1.3), kuri blokuoja suaugusiems skirtą turinį, ir kenkėjišką programinę įrangą blokuojančią versiją (1.1.1.2).
Google Public DNS (8.8.8.8) yra seniausias ir plačiausiai naudojamas viešas DNS. DoH endpoint: https://dns.google/dns-query. Google teigia, kad naudoja duomenis tik paslaugos gerinimui, bet jei jus jaudina privatumas, Google galbūt nėra geriausias pasirinkimas, atsižvelgiant į jų verslo modelį, paremtą duomenų rinkimu.
Quad9 (9.9.9.9) yra ne pelno organizacija, orientuota į saugumą. Jie automatiškai blokuoja žinomus kenkėjiškus domenus ir žada niekada neparduoti jūsų duomenų. DoH endpoint: https://dns.quad9.net/dns-query. Tai puikus pasirinkimas, jei norite derinio tarp privatumo ir saugumo.
NextDNS siūlo labai išplėstines funkcijas – galite sukurti savo konfigūraciją su konkrečiais blokavimo sąrašais, analizės įrankiais ir net tėvų kontrole. Nemokama versija apribota iki 300 000 užklausų per mėnesį, o tai daugiau nei pakanka vidutiniam naudotojui. DoH endpoint yra individualus kiekvienai konfigūracijai.
AdGuard DNS orientuotas į reklamos ir sekimo blokavimą DNS lygmenyje. Tai gali būti naudinga, jei nenorite įdiegti reklamos blokavimo plėtinių naršyklėje. DoH endpoint: https://dns.adguard.com/dns-query.
Galimos problemos ir kaip jas spręsti
DoH nėra tobulas, ir kartais galite susidurti su iššūkiais.
Lėtesnis veikimas – kai kurie naudotojai pastebi, kad DoH yra šiek tiek lėtesnis nei tradicinis DNS. Tai dažniausiai atsitinka, jei pasirinktas DoH serveris yra geografiškai toli nuo jūsų. Sprendimas: pasirinkite serverį, kuris turi duomenų centrus jūsų regione. Cloudflare ir Google turi serverius visame pasaulyje, todėl paprastai yra greiti.
Kai kurios svetainės neveikia – jei DoH serveris blokuoja tam tikras kategorijas (pvz., suaugusiems skirtas turinį), galite netyčia negalėti pasiekti legitimių svetainių. Sprendimas: perjunkite į kitą DoH teikėją arba naudokite nefiltruojantį serverį.
Įmonės tinkluose DoH gali būti blokuojamas – kai kurios organizacijos tyčia blokuoja DoH, nes nori kontroliuoti ir stebėti tinklo srautą. Jei dirbate iš namų per VPN, DoH gali neveikti. Sprendimas: išjunkite DoH, kai esate prijungti prie įmonės tinklo, arba pasitarkite su IT skyriumi.
DNS cache problemos – kartais, perjungus į DoH, senos DNS įrašai gali likti cache ir sukelti problemų. Sprendimas: išvalykite DNS cache. Windows: ipconfig /flushdns, macOS: sudo dscacheutil -flushcache, Linux: sudo systemd-resolve --flush-caches (jei naudojate systemd-resolved).
Konfliktai su VPN – kai kurie VPN tarnybos gali turėti savo DNS serverius ir konfliktuoti su DoH. Sprendimas: patikrinkite VPN nustatymus ir įsitikinkite, kad jie neperrašo jūsų DNS konfigūracijos, arba naudokite VPN, kuris palaiko DoH.
Ar DoH tikrai reikalingas jums?
Atsakymas priklauso nuo jūsų grėsmių modelio ir privatumo poreikių. Jei tiesiog naršote internetą namuose ir naudojate patikimą interneto paslaugų teikėją, DoH galbūt nėra kritiškai svarbus. Tačiau yra keletas scenarijų, kur jis tikrai praverčia.
Jei dažnai naudojatės viešaisiais Wi-Fi tinklais – kavinėse, oro uostuose, viešbučiuose – DoH suteikia papildomą apsaugos sluoksnį. Viešieji tinklai dažnai yra nesaugūs, ir DoH neleidžia tinklo operatoriams ar kitiems naudotojams matyti, kokias svetaines lankote.
Jei gyvenant šalyse su interneto cenzūra, DoH gali padėti apeiti tam tikrus blokavimus. Nors tai nėra pilnavertis cenzūros apėjimo įrankis (tam geriau tinka VPN ar Tor), DoH gali padėti, jei blokavimas vykdomas DNS lygmeniu.
Jei rūpinasi privatumas ir nenorite, kad jūsų interneto paslaugų teikėjas žinotų, kokias svetaines lankote, DoH yra paprastas būdas padidinti privatumą be didelių pastangų. Tai nėra visapusiškas privatumo sprendimas, bet tai geras žingsnis teisinga kryptimi.
Technologijų entuziastams ir IT profesionalams DoH yra tiesiog gera praktika. Tai dalis platesnės tendencijos šifruoti viską, ką įmanoma. Jei jau naudojate HTTPS, VPN ir kitus saugumo įrankius, DoH yra logiškas papildymas.
Galiausiai, jei turite vaikų ir norite kontroliuoti, kokį turinį jie gali pasiekti internete, kai kurie DoH teikėjai (kaip Cloudflare for Families ar NextDNS) siūlo integruotą turinio filtravimą. Tai gali būti paprastesnis sprendimas nei atskirų tėvų kontrolės programų diegimas.
Svarbu suprasti, kad DoH nėra magiškas privatumo sprendimas. Jis apsaugo tik DNS užklausas, bet ne patį interneto srautą. Svetainės, kurias lankote, jūsų interneto paslaugų teikėjas ir kiti gali vis tiek matyti per IP adresus ir kitus metodus. Jei norite pilno privatumo, reikia derinio iš įvairių įrankių: DoH, VPN, HTTPS ir galbūt net Tor naršyklės ypač jautriems atvejams.
Taip pat verta paminėti, kad DoH nėra vienintelis šifruoto DNS variantas. Yra ir DNS over TLS (DoT), kuris veikia panašiai, bet naudoja skirtingą protokolą. Techniškai DoT yra šiek tiek efektyvesnis, bet DoH turi pranašumą – jis neišsiskiria tinkle, nes atrodo kaip įprastas HTTPS srautas. Tai svarbu, jei norite išvengti blokavimų ar apribojimų.
Įgyvendinus DoH, pastebėsite, kad kasdienė naršymo patirtis beveik nepasikeis. Svetainės atsidaro taip pat greitai, viskas veikia sklandžiai, bet fone jūsų privatumas yra geriau apsaugotas. Tai vienas iš tų atvejų, kai saugumo patobulinimas nereikalauja jokių kompromisų patogumui – o tai yra reta ir vertinga savybė technologijų pasaulyje.
