Kaj je DNS-over-HTTPS in kako ga omogočiti v napravi (ali brskalniku)

• Kategorija: Vodniki

Preizkusite Naš Instrument Za Odpravo Težav

Izberite Operacijski Sistem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Izberite Program Projekcije (Neobvezno) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opišite Svoj Problem

Pridobite Odgovor

Pošljite Me Po E -Pošti Pokaži Na Spletnem Mestu

DNS-over-HTTPS (Secure DNS) je nova tehnologija, katere namen je zaščititi brskanje po spletu s šifriranjem komunikacije med odjemalskim računalnikom in strežnikom DNS.

Ta novi internetni standard se široko sprejema. Seznam posvojitev vključuje Windows 10 (različica 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera in Vivaldi.

V tem članku bomo razpravljali o prednostih in slabostih DNS-over-HTTPS ter o tem, kako omogočiti ta protokol v svojih napravah.

Razpravljali bomo tudi o tem, kako preizkusiti, ali je DoH omogočen za vaše naprave ali ne.

Začnimo. Hiter povzetek skriti 1 Preprosta razlaga DNS-over-HTTPS in kako deluje 2 Prednosti in slabosti DNS-over-HTTPS 2.1 DoH ne omogoča popolne zasebnosti uporabnika 2.2 DoH ne velja za poizvedbe HTTP 2.3 Vsi strežniki DNS ne podpirajo DoH 2.4 DoH bo glavobol za podjetja 3 Ali uporaba DNS-over-HTTPS upočasni brskanje? 4 Kako omogočiti ali onemogočiti DNS-over-HTTPS v sistemu Windows 10 4.1 Uporaba registra Windows 4.2 Uporaba pravilnika skupine 4.3 Uporaba PowerShell (ukazna vrstica) 5 Kako v brskalnikih omogočiti ali onemogočiti DNS-over-HTTPS 5.1 Omogoči DNS-over-HTTPS v brskalniku Google Chrome 5.2 Omogoči DNS-over-HTTPS v Mozilla Firefoxu 5.3 Omogočite DNS-over-HTTPS v Microsoft Edge 5.4 Omogoči DNS-over-HTTPS v brskalniku Opera 5.5 Omogoči DNS-over-HTTPS v brskalniku Vivaldi 6 Kako omogočiti DNS-over-HTTPS v sistemu Android 7 Kako preverite, ali uporabljate DNS-over-HTTPS? 8 Seznam imenskih strežnikov, ki podpirajo DoH

Preprosta razlaga DNS-over-HTTPS in kako deluje

DNS-over-HTTPS (DoH) je protokol za šifriranje poizvedb DNS med računalnikom in strežnikom DNS. Prvič je bil predstavljen oktobra 2018 ( IETF RFC 8484 ) s ciljem povečati varnost in zasebnost uporabnikov.

Tradicionalni strežniki DNS za komunikacijo uporabljajo vrata 53 DNS, medtem ko DNS-over-HTTPS uporablja vrata 443 HTTPS za varno komunikacijo s odjemalcem.

Upoštevajte, da čeprav je DoH varnostni protokol, ponudnikom internetnih storitev ne preprečuje sledenja vašim zahtevam. Preprosto šifrira podatke o poizvedbah DNS med vašim računalnikom in ponudnikom internetnih storitev, da prepreči težave, kot so ponarejanje, napad človek v sredini itd.

Razumejmo to s preprostim primerom.

Tako deluje DNS:

1. Če želite odpreti ime domene itechtics.com in ga zahtevati z brskalnikom.
2. Vaš brskalnik pošlje zahtevo strežniku DNS, konfiguriranemu v vašem sistemu, na primer 1.1.1.1.
3. Rekurzivni razreševalnik DNS (1.1.1.1) gre na korenske strežnike domene najvišje ravni (TLD) (.com v našem primeru) in zahteva imenske strežnike itechtics.com.
4. Nato strežnik DNS (1.1.1.1) odide na imenske strežnike itechtics.com in zahteva IP naslov imena DNS itechtics.com.
5. Strežnik DNS (1.1.1.1) te podatke prenese v brskalnik, brskalnik pa se poveže z itechtics.com in od strežnika prejme odgovor.

Vsa ta komunikacija od vašega računalnika do strežnika DNS do strežnikov DNS TLD do imenskih strežnikov do spletnega mesta in nazaj poteka v obliki preprostih besedilnih sporočil.

To pomeni, da lahko vsak spremlja vaš spletni promet in zlahka ve, katera spletna mesta odpirate.

DNS-over-HTTPS šifrira vso komunikacijo med vašim računalnikom in strežnikom DNS, zaradi česar je bolj varen in manj nagnjen k napadom človek v sredini in drugim lažnim napadom.

Razumejmo to z vizualnim primerom:

Ko odjemalec DNS pošlje poizvedbe DNS na strežnik DNS brez uporabe DoH:

DNS prek HTTPS ni omogočen

Ko odjemalec DoH uporablja protokol DoH za pošiljanje prometa DNS strežniku DNS, ki podpira DoH:

DNS prek HTTPS je omogočen

Tukaj lahko vidite, da je promet DNS od odjemalca do strežnika šifriran in nihče ne ve, kaj je odjemalec zahteval. Odziv DNS strežnika je tudi šifriran.

Prednosti in slabosti DNS-over-HTTPS

Čeprav bo DNS-over-HTTPS počasi nadomestil starejši sistem DNS, ima svoje prednosti in potencialne težave. Tu se pogovorimo o nekaterih od njih.

DoH ne omogoča popolne zasebnosti uporabnika

DoH velja za naslednjo veliko stvar v zasebnosti in varnosti uporabnikov, vendar je po mojem mnenju osredotočena le na varnost uporabnikov in ne na zasebnost.

Če veste, kako deluje ta protokol, boste vedeli, da DoH ne preprečuje ponudnikom internetnih storitev, da sledijo zahtevam DNS uporabnikov.

Tudi če vam ponudnik internetnih storitev ne more slediti z uporabo DNS, ker uporabljate drugega javnega ponudnika DNS, obstaja veliko podatkovnih točk, ki so ponudnikom internetnih storitev še vedno na voljo za sledenje. Na primer, Polja za oznako imena strežnika (SNI) in Povezave spletnega protokola statusa potrdila (OCSP) itd.

Če želite več zasebnosti, preverite druge tehnologije, kot so DNS-over-TLS (DoT), DNSCurve, DNSCrypt itd.

DoH ne velja za poizvedbe HTTP

Če odprete spletno mesto, ki ne deluje s protokolom SSL, se bo strežnik DoH vrnil k podedovani tehnologiji DNS (DNS-over-HTTP), znani tudi kot Do53.

Če pa povsod uporabljate varno komunikacijo, je DoH vsekakor boljši od uporabe golih kovin starih in negotovih tehnologij DNS.

Vsi strežniki DNS ne podpirajo DoH

Obstaja veliko število starejših strežnikov DNS, ki jih bo treba nadgraditi za podporo DNS-over-HTTPS. Za široko sprejetje bo trajalo dolgo.

Dokler večina protokolov DNS ne podpira tega protokola, bo večina uporabnikov prisiljena uporabljati javne strežnike DNS, ki jih ponujajo velike organizacije.

To bo povzročilo več težav z zasebnostjo, saj bo večina podatkov DNS zbranih na nekaj centraliziranih lokacijah po vsem svetu.

Druga pomanjkljivost zgodnjega sprejetja DoH je, da če globalni strežnik DNS pade, bo spotaknil večino uporabnikov, ki uporabljajo strežnik za ločevanje imen.

DoH bo glavobol za podjetja

Čeprav bo DoH izboljšal varnost, bo to glavobol za podjetja in organizacije, ki spremljajo dejavnosti svojih zaposlenih in uporabljajo orodja za blokiranje delov spleta, ki niso varni za delo (NSFW).

Skrbniki omrežja in sistema se bodo težko spopadli z novim protokolom.

Ali uporaba DNS-over-HTTPS upočasni brskanje?

Pri testiranju zmogljivosti v skladu s podedovanim protokolom Do53 je treba iskati dva vidika DoH:

1. Učinkovitost ločljivosti imen
2. Učinkovitost nalaganja spletne strani

Učinkovitost razreševanja imen je meritev, s katero izračunamo čas, ki ga potrebuje strežnik DNS, da nam posreduje zahtevani naslov IP strežnika spletnega mesta, ki ga želimo obiskati.

Učinkovitost nalaganja spletnih strani je dejanska meritev, ali čutimo upočasnitev, ko brskamo po internetu s protokolom DNS-over-HTTPS.

Oba preizkusa je izvedel samknows, končni rezultat pa je, da je zanemarljiva razlika v zmogljivosti med DNS-over-HTTPS in podedovanimi protokoli Do53.

Lahko preberete popolna študija primera uspešnosti s statistiko pri samknows .

Tu so povzetek tabel za vsako meritev, ki smo jo definirali zgoraj. (Za večji pogled kliknite na sliko)

Test uspešnosti ločljivosti imen

Tabela uspešnosti ponudnikov internetnih storitev DoH proti Do53

Test uspešnosti nalaganja spletne strani

DoH vs Do53 uspešnost nalaganja spletne strani

Kako omogočiti ali onemogočiti DNS-over-HTTPS v sistemu Windows 10

Windows 10 različice 2004 bo privzeto omogočil DNS-over-HTTPS. Ko boste izdali naslednjo različico sistema Windows 10 in nadgradili na najnovejšo različico, vam ne bo treba ročno omogočiti DoH.

Če pa uporabljate Windows 10 Insider Preview, boste morali DoH ročno omogočiti na naslednje načine:

Uporaba registra Windows

1. Pojdi do Zaženi -> regedit . S tem se odpre urejevalnik registra Windows.
2. Odprite naslednji registrski ključ:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
3. Z desno tipko miške kliknite Parametri mapo in izberite Novo-> DWORD (32-bitni) Vrednost.
4. Poimenujte ga EnableAutoDoh .
5. Vrednost vnosa EnableAutoDoh nastavite na 2 .
   

Če želite, da spremembe začnejo veljati, morate znova zagnati računalnik.

Upoštevajte, da bo ta sprememba začela veljati le, če uporabljate strežnike DNS, ki podpirajo DNS-over-HTTPS. Spodaj boste našli a seznam javnih ponudnikov DNS, ki podpirajo DoH .

Starejše različice sistema Windows 10, vključno z različicama 1909 in 1903, privzeto ne podpirajo DoH.

Uporaba pravilnika skupine

Ta razdelek shranjujem za prihodnjo uporabo. Trenutno ni pravil pravilnika skupine za DNS-over-HTTPS. Korake bomo izpolnili, ko jih bo Microsoft dal na voljo za Windows 10 različice 2004.

Uporaba PowerShell (ukazna vrstica)

Ta razdelek shranjujem za prihodnjo uporabo. Če Microsoft z ukazno vrstico omogoči ali onemogoči DoH, bomo tukaj našteli korake.

Kako v brskalnikih omogočiti ali onemogočiti DNS-over-HTTPS

Nekatere aplikacije podpirajo mimo sistemsko konfiguriranega strežnika DNS in namesto tega uporabljajo DNS-over-HTTPS. Skoraj vsi sodobni brskalniki že podpirajo DoH ali bodo v bližnji prihodnosti podpirali protokol.

Omogoči DNS-over-HTTPS v brskalniku Google Chrome

1. Odprite Google Chrome in pojdite na naslednji URL:
   chrome://settings/security
2. Spodaj Napredna varnost , vklopite Uporabite varen DNS .
3. Ko omogočite varen DNS, obstajata dve možnosti:
   • Pri trenutnem ponudniku storitev
   • Pri Googlovih priporočenih ponudnikih storitev

Izberete lahko, kar vam ustreza. Druga možnost bo presegla nastavitve DNS vašega sistema.

Omogočite varen DNS v brskalniku Google Chrome

Če želite onemogočiti DoH, preprosto preklopite na Uporabite varen DNS nastavitve za izklopljeno .

Omogoči DNS-over-HTTPS v Mozilla Firefoxu

1. Odprite Firefox in pojdite na naslednji URL:
   about:preferences
2. Spodaj splošno , Pojdi do Omrežne nastavitve in kliknite na Nastavitve gumb. Ali preprosto pritisnite tipko IN tipko za odpiranje nastavitev.
3. Pomaknite se na dno in preveri Omogoči DNS prek HTTPS .
4. V spustnem meniju lahko izberete želeni varen strežnik DNS.
   

Omogočite DNS-over-HTTPS v Microsoft Edge

1. Odprite Microsoft Edge in pojdite na naslednji URL:
   edge://flags/#dns-over-https
2. Izberite Omogočeno iz spustnega menija poleg Varen iskanje DNS .
3. Znova zaženite brskalnik, da bodo spremembe začele veljati.
   

Omogoči DNS-over-HTTPS v brskalniku Opera

1. Odprite brskalnik Opera in pojdite na Nastavitve (Alt + P).
2. Razširi Napredno v levem meniju.
3. V sistemu, vklopite Namesto sistemskih nastavitev DNS uporabite DNS-over-HTTPS .
4. Znova zaženite brskalnik, da bodo spremembe začele veljati.
   

Varne nastavitve DNS niso začele veljati, dokler nisem onemogočil vgrajene storitve VPN Opere. Če imate težave z omogočanjem DoH v Operi, poskusite onemogočiti VPN.

Omogoči DNS-over-HTTPS v brskalniku Vivaldi

1. Odprite brskalnik Vivaldi in pojdite na naslednji URL:
   vivaldi://flags/#dns-over-https
2. Izberite Omogočeno iz spustnega menija poleg Varen iskanje DNS .
3. Znova zaženite brskalnik, da bodo spremembe začele veljati.
   

Kako omogočiti DNS-over-HTTPS v sistemu Android

Android 9 Pie podpira nastavitve DoH. Če želite omogočiti DoH v telefonu Android, sledite spodnjim korakom:

1. Pojdi do Nastavitve → Omrežje in internet → Napredno → Zasebni DNS .
2. To možnost lahko nastavite na Samodejno ali pa sami določite varnega ponudnika DNS.
   

Če teh nastavitev ne najdete v telefonu, sledite spodnjim korakom:

1. Prenesite in odprite aplikacijo QuickShortcutMaker iz Trgovine Google Play.
2. Pojdite v Nastavitve in se dotaknite:
   com.android.settings.Settings$NetworkDashboardActivity

To vas bo pripeljalo neposredno na stran z omrežnimi nastavitvami, kjer boste našli možnost varnega DNS.

Kako preverite, ali uporabljate DNS-over-HTTPS?

Obstajata dva načina za preverjanje, ali je DoH pravilno omogočen za vašo napravo ali brskalnik.

To najlažje preverite tako, da obiščete to stran za preverjanje izkušenj brskanja v oblaku . Kliknite na Preverite Moj brskalnik gumb.

V razdelku Zaščiten DNS boste prejeli naslednje sporočilo, če uporabljate DoH: | _+_ |

Če ne uporabljate DoH, boste prejeli naslednje sporočilo: | _+_ |

Windows 10 različice 2004 omogoča tudi spremljanje paketov vrat 53 v realnem času. To nam bo povedalo, ali sistem uporablja DNS-over-HTTPS ali starejšo različico Do53.

1. Odprite PowerShell s skrbniškimi pravicami.
2. Zaženite naslednje ukaze:
   pktmon filter remove
   S tem odstranite vse aktivne filtre, če obstajajo.
   pktmon filter add -p 53
   To dodaja vrata 53 za spremljanje in beleženje.
   pktmon start --etw -m real-time
   To se začne s spremljanjem vrat 53 v realnem času.
   

Če na seznamu vidite veliko prometa, to pomeni, da se namesto DoH uporablja starejša različica Do53.

Upoštevajte, da bodo zgoraj omenjeni ukazi delovali samo v sistemu Windows 10 različice 2004. V nasprotnem primeru se vam prikaže napaka: Neznan parameter 'v realnem času'

Seznam imenskih strežnikov, ki podpirajo DoH

Tu je seznam ponudnikov storitev DNS, ki podpirajo DNS-over-HTTPS.

Ponudnik	Ime gostitelja	IP naslov
AdGuard	dns.adguard.com	176,103,130,132 176,103,130,134
AdGuard	dns-family.adguard.com	176,103,130,132 176,103,130,134
CleanBrowing	family-filter-dns.cleanbrowsing.org	185,228,168,168 185,228,169,168
CleanBrowing	adult-filter-dns.cleanbrowsing.org	185.228.168.10 185.228.169.11
Cloudflare	one.one.one.one 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Cloudflare	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Cloudflare	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
NaslednjiDNS	dns.nextdns.io	45,90,28,0 45.90.30.0
OpenDNS	dns.opendns.com	208.67.222.222 208.67.220.220
OpenDNS	familyshield.opendns.com	208.67.222.123 208.67.220.123
OpenDNS	sandbox.opendns.com	208.67.222.2 208.67.220.2
Quad9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149,112,112,112

Čeprav DNS-over-HTTPS naredi splet bolj varen in ga je treba enotno izvajati po vsem spletu (na primer v primeru HTTPS), bo ta protokol sistemskim skrbnikom povzročil nočne more.

Sistemski skrbniki morajo najti načine za blokiranje javnih storitev DNS, hkrati pa svojim hišnim strežnikom DNS omogočiti uporabo DoH. To je treba storiti za ohranitev trenutne opreme za spremljanje in politike omejevanja v celotni organizaciji.

Če sem kaj zamudil v članku, mi to sporočite v spodnjih komentarjih. Če vam je bil članek všeč in ste se naučili kaj novega, ga delite s prijatelji in v družabnih medijih ter se naročite na naše novice.