Mis on DNS-over-HTTPS ja kuidas seda oma seadmes (või brauseris) lubada

• Kategooria: Juhendid

Proovige Meie Instrumenti Probleemide Kõrvaldamiseks

Valige Operatsioonisüsteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Valige Projektsiooniprogramm (Valikuliselt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Kirjeldage Oma Probleemi

Vastust Saama

Saada Mulle E -Posti Teel Näita Saidil

DNS-over-HTTPS (Secure DNS) on uus tehnoloogia, mille eesmärk on muuta veebisirvimine turvaliseks, krüpteerides side kliendi arvuti ja DNS-serveri vahel.

See uus Interneti -standard võetakse laialdaselt kasutusele. Kasutusloend sisaldab Windows 10 (versioon 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera ja Vivaldi.

Selles artiklis käsitleme DNS-over-HTTPS eeliseid ja puudusi ning seda, kuidas seda protokolli oma seadmetes lubada.

Samuti arutame, kuidas testida, kas DoH on teie seadmete jaoks lubatud või mitte.

Alustagem. Kiire kokkuvõte peitu 1 Lihtne selgitus DNS-over-HTTPS ja selle toimimise kohta 2 DNS-HTTPS-i plussid ja miinused 2.1 DoH ei võimalda kasutaja täielikku privaatsust 2.2 DoH ei kehti HTTP päringute kohta 2.3 Mitte kõik DNS -serverid ei toeta DoH -d 2.4 DoH on ettevõtetele peavalu 3 Kas DNS-üle HTTPS-i kasutamine aeglustab sirvimist? 4 Kuidas lubada või keelata DNS-over-HTTPS Windows 10-s 4.1 Windowsi registri kasutamine 4.2 Grupipoliitika kasutamine 4.3 PowerShelli kasutamine (käsurida) 5 Kuidas lubada või keelata DNS-over-HTTPS oma brauserites 5.1 Lubage Google Chrome'is DNS-over-HTTPS 5.2 Luba Mozilla Firefoxis DNS-over-HTTPS 5.3 Lubage Microsoft Edge'is DNS-over-HTTPS 5.4 Luba Opera-brauseris DNS-over-HTTPS 5.5 Luba DNS-over-HTTPS Vivaldi brauseris 6 Kuidas lubada Android-is DNS-over-HTTPS 7 Kuidas kontrollida, kas kasutate üle HTTPS-i DNS-i? 8 DoH -d toetavate nimeserverite loend

Lihtne selgitus DNS-over-HTTPS ja selle toimimise kohta

DNS-over-HTTPS (DoH) on protokoll DNS-päringute krüptimiseks arvuti ja DNS-serveri vahel. Esmakordselt tutvustati seda oktoobris 2018 ( IETF RFC 8484 ) eesmärgiga suurendada kasutajate turvalisust ja privaatsust.

Traditsioonilised DNS-serverid kasutavad suhtlemiseks DNS-porti 53, samas kui DNS-over-HTTPS kasutab kliendiga turvaliseks suhtlemiseks HTTPS-i pordi 443.

Pange tähele, et kuigi DoH on turvaprotokoll, ei takista see Interneti -teenuse pakkujatel teie taotlusi jälgida. See lihtsalt krüpteerib DNS-päringu andmed teie arvuti ja Interneti-teenuse pakkuja vahel, et vältida selliseid probleeme nagu võltsimine, rünnak keset jne.

Mõistame seda lihtsa näite abil.

DNS töötab järgmiselt.

1. Kui soovite avada domeeninime itechtics.com ja taotleda seda oma brauseri abil.
2. Teie brauser saadab päringu teie süsteemis konfigureeritud DNS -serverile, nt 1.1.1.1.
3. DNS -i rekursiivne lahendaja (1.1.1.1) läheb tipptaseme domeeni (TLD) (meie puhul .com) juurserveritesse ja küsib itechtics.com nimeservereid.
4. Seejärel läheb DNS -server (1.1.1.1) itechtics.com nimeserveritesse ja küsib itechtics.com DNS -i nime IP -aadressi.
5. DNS -server (1.1.1.1) kannab selle teabe brauserisse ja brauser loob ühenduse saidiga itechtics.com ning saab serverilt vastuse.

Kogu see suhtlus teie arvutist DNS -serverisse TLD -DNS -serveriteni nimeserveritele veebisaidile ja tagasi toimub lihtsate tekstisõnumite kujul.

See tähendab, et igaüks saab teie veebiliiklust jälgida ja hõlpsasti teada, milliseid veebisaite avate.

DNS-over-HTTPS krüpteerib kogu suhtluse teie arvuti ja DNS-serveri vahel, muutes selle turvalisemaks ja vähem vastuvõtlikuks vahepealsete rünnakute ja muude võltsimisrünnakute suhtes.

Mõistame seda visuaalse näite abil:

Kui DNS -klient saadab DNS -päringud DNS -serverile ilma DoH -d kasutamata:

DNS üle HTTPS -i pole lubatud

Kui DoH -klient kasutab DoH -protokolli, et saata DNS -i liiklust DoH -toega DNS -serverisse:

DNS üle HTTPS -i on lubatud

Siin näete, et DNS -i liiklus kliendist serverisse on krüptitud ja keegi ei tea, mida klient on taotlenud. Samuti on krüptitud serveri DNS -vastus.

DNS-HTTPS-i plussid ja miinused

Kuigi DNS-over-HTTPS asendab aeglaselt pärand-DNS-süsteemi, on sellel oma eelised ja võimalikud probleemid. Arutleme siin mõnda neist.

DoH ei võimalda kasutaja täielikku privaatsust

DoH -d peetakse kasutajate privaatsuse ja turvalisuse järgmiseks suureks asjaks, kuid minu arvates on see keskendunud ainult kasutajate turvalisusele, mitte privaatsusele.

Kui teate, kuidas see protokoll töötab, teate, et DoH ei takista Interneti -teenuse pakkujatel kasutaja DNS -i päringute jälgimist.

Isegi kui Interneti -teenuse pakkuja ei saa teid DNS -i abil jälgida, kuna kasutate teist avalikku DNS -i pakkujat, on Interneti -teenuse pakkujatele jälgimiseks endiselt palju andmepunkte. Näiteks, Serveri nime näitamise (SNI) väljad ja Interneti -sertifikaatide oleku protokolli (OCSP) ühendused jne.

Kui soovite rohkem privaatsust, peaksite tutvuma teiste tehnoloogiatega, nagu DNS-over-TLS (DoT), DNSCurve, DNSCrypt jne.

DoH ei kehti HTTP päringute kohta

Kui avate veebisaidi, mis ei tööta SSL-i abil, läheb DoH-server tagasi pärand DNS-tehnoloogiale (DNS-over-HTTP), mida tuntakse ka kui Do53.

Kuid kui kasutate igal pool turvalist suhtlust, on DoH kindlasti parem kui tühjade metallide vanade ja ebaturvaliste DNS -tehnoloogiate kasutamine.

Mitte kõik DNS -serverid ei toeta DoH -d

Seal on suur hulk pärand DNS-servereid, mida tuleb uuendada, et toetada üle-HTTPS-i DNS-i. Selle laialdaseks vastuvõtmiseks kulub palju aega.

Kuni seda protokolli ei toeta enamik DNS -servereid, on enamik kasutajaid sunnitud kasutama suurte organisatsioonide pakutavaid avalikke DNS -servereid.

See toob kaasa rohkem privaatsusprobleeme, kuna enamik DNS -i andmeid kogutakse mõnes tsentraliseeritud kohas üle maailma.

Veel üks DoH varajase kasutuselevõtu puudus on see, et kui globaalne DNS -server läheb alla, katkestab see enamuse kasutajatest, kes kasutavad serverit nime lahendamiseks.

DoH on ettevõtetele peavalu

Kuigi DoH parandab turvalisust, valmistab see peavalu ettevõtetele ja organisatsioonidele, kes jälgivad oma töötajate tegevust ja kasutavad tööriistu NSFW (mitte tööohutu) veebiosade blokeerimiseks.

Võrgu- ja süsteemiadministraatoritel on uue protokolliga raske toime tulla.

Kas DNS-üle HTTPS-i kasutamine aeglustab sirvimist?

DoH3 pärandprotokolli toimivuse testimisel tuleb otsida kahte DoH aspekti:

1. Nimelahenduse jõudlus
2. Veebilehe laadimise jõudlus

Nimelahenduse jõudlus on mõõdik, mida kasutame selleks, et arvutada aega, mis kulub DNS -serveril meile nõutava veebisaidi serveri IP -aadressi andmiseks.

Veebilehe laadimise jõudlus on tegelik mõõdik selle kohta, kas tunneme aeglustumist, kui sirvime Internetti, kasutades DNS-over-HTTPS protokolli.

Mõlemad testid viisid läbi samknows ja lõpptulemus on see, et DNS-üle HTTPS-i ja vanade Do53-protokollide toimivuses on tühine erinevus.

Saate lugeda täielik toimivuse juhtumiuuring koos statistikaga samknows .

Siin on iga ülaltoodud mõõdiku kokkuvõtlikud tabelid. (Suuremaks vaatamiseks klõpsake pildil)

Nime eraldusvõime test

DoH vs Do53 Interneti -teenuse pakkujate toimivustabel

Veebilehe laadimise jõudlustest

DoH vs Do53 veebilehe laadimise jõudlus

Kuidas lubada või keelata DNS-over-HTTPS Windows 10-s

Windows 10 versioonil 2004 on DNS-over-HTTPS vaikimisi lubatud. Niisiis, kui Windows 10 järgmine versioon on välja antud ja uuendate uusimale versioonile, ei pea DoH -d käsitsi lubama.

Kui aga kasutate Windows 10 siseringi eelvaadet, peate DoH käsitsi lubama, kasutades järgmisi meetodeid:

Windowsi registri kasutamine

1. Minema Käivita -> regedit . See avab Windowsi registriredaktori.
2. Avage järgmine registrivõti:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
3. Paremklõpsake Parameetrid kausta ja valige Uus-> DWORD (32-bitine) Väärtus.
4. Nimetage see EnableAutoDoh .
5. Määrake kirje EnableAutoDoh väärtuseks 2 .
   

Muudatuste jõustumiseks peate arvuti taaskäivitama.

Pange tähele, et see muudatus jõustub ainult siis, kui kasutate DNS-üle HTTPS-i toetavaid DNS-servereid. Allpool leiate a DoH -d toetavate avalike DNS -i pakkujate loend .

Varasemad Windows 10 versioonid, sealhulgas versioonid 1909 ja 1903, ei toeta vaikimisi DoH -d.

Grupipoliitika kasutamine

Hoian seda jaotist edaspidiseks kasutamiseks. Praegu pole DNS-üle HTTPS-i jaoks rühmapoliitika reegleid. Täidame juhised, kui Microsoft teeb need Windows 10 versiooni 2004 jaoks kättesaadavaks.

PowerShelli kasutamine (käsurida)

Hoian seda jaotist edaspidiseks kasutamiseks. Kui Microsoft pakub võimalust käsurea abil DoH -d lubada või keelata, loetleme sammud siin.

Kuidas lubada või keelata DNS-over-HTTPS oma brauserites

Mõned rakendused toetavad süsteemi konfigureeritud DNS-serverist möödahiilimist ja kasutavad selle asemel DNS-üle HTTPS-i. Peaaegu kõik kaasaegsed brauserid juba toetavad DoH -d või toetavad protokolli lähitulevikus.

Lubage Google Chrome'is DNS-over-HTTPS

1. Avage Google Chrome ja minge järgmisele URL -ile:
   chrome://settings/security
2. All Täiustatud turvalisus , sisse lülitada Kasutage turvalist DNS -i .
3. Pärast turvalise DNS -i lubamist on kaks võimalust.
   • Teie praeguse teenusepakkujaga
   • Google'i soovitatud teenusepakkujatega

Saate valida endale sobiva. Teine võimalus ületab teie süsteemi DNS-i seaded.

Luba Google Chrome'is turvaline DNS

DoH keelamiseks lülitage lihtsalt Kasutage turvalist DNS -i seaded väljas .

Luba Mozilla Firefoxis DNS-over-HTTPS

1. Avage Firefox ja minge järgmisele URL -ile:
   about:preferences
2. All üldine , minema Võrgusätted ja klõpsake nuppu Seaded nuppu. Või lihtsalt vajutage JA seadete avamiseks klaviatuuriklahv.
3. Kerige alla ja Kontrollima Luba DNS HTTPS -i kaudu .
4. Rippmenüüst saate valida oma eelistatud turvalise DNS-serveri.
   

Lubage Microsoft Edge'is DNS-over-HTTPS

1. Avage Microsoft Edge ja minge järgmisele URL -ile:
   edge://flags/#dns-over-https
2. Valige Lubatud kõrval olevast rippmenüüst Turvalised DNS -i otsingud .
3. Muudatuste jõustumiseks taaskäivitage brauser.
   

Luba Opera-brauseris DNS-over-HTTPS

1. Avage brauser Opera ja minge menüüsse Seaded (Alt + P).
2. Laienda Täpsem vasakpoolses menüüs.
3. Süsteemi all, sisse lülitada Kasutage süsteemi DNS-i seadete asemel DNS-i üle HTTPS-i .
4. Muudatuste jõustumiseks taaskäivitage brauser.
   

Turvalised DNS-seaded jõustusid enne, kui keelasin Opera sisseehitatud VPN-teenuse. Kui teil on probleeme DoH -i lubamisega Opera, proovige VPN välja lülitada.

Luba DNS-over-HTTPS Vivaldi brauseris

1. Avage Vivaldi brauser ja minge järgmisele URL -ile:
   vivaldi://flags/#dns-over-https
2. Valige Lubatud kõrval olevast rippmenüüst Turvalised DNS -i otsingud .
3. Muudatuste jõustumiseks taaskäivitage brauser.
   

Kuidas lubada Android-is DNS-over-HTTPS

Android 9 Pie toetab DoH seadeid. DoH lubamiseks oma Android -telefonis saate järgida alltoodud samme.

1. Minema Seaded → Võrk ja Internet → Täpsem → Privaatne DNS .
2. Saate selle valiku seada väärtusele Automaatne või turvalise DNS -i pakkuja ise määrata.
   

Kui te ei leia neid seadeid oma telefonist, saate järgida järgmisi samme.

1. Laadige alla ja avage rakendus QuickShortcutMaker Google Play poest.
2. Minge seadetesse ja puudutage:
   com.android.settings.Settings$NetworkDashboardActivity

See viib teid otse võrgusätete lehele, kust leiate turvalise DNS -i valiku.

Kuidas kontrollida, kas kasutate üle HTTPS-i DNS-i?

Saate kontrollida, kas DoH on teie seadme või brauseri jaoks õigesti lubatud.

Lihtsaim viis seda kontrollida on minna see cloudflare'i sirvimiskogemuse kontrollleht . Klõpsake Kontrollige Minu brauserit nuppu.

Turvalise DNS -i all kuvatakse DoH kasutamisel järgmine teade: | _+_ |

Kui te DoH -d ei kasuta, kuvatakse järgmine teade: | _+_ |

Windows 10 versioon 2004 annab ka võimaluse jälgida pordi 53 pakette reaalajas. See ütleb meile, kas süsteem kasutab DNS-over-HTTPS või pärand Do53.

1. Avage PowerShell administraatoriõigustega.
2. Käivitage järgmised käsud:
   pktmon filter remove
   See eemaldab kõik aktiivsed filtrid, kui neid on.
   pktmon filter add -p 53
   See lisab porti 53, mida tuleb jälgida ja logida.
   pktmon start --etw -m real-time
   See algab sadama 53 reaalajas jälgimisega.
   

Kui näete loendis palju liiklust, tähendab see, et DoH3 asemel kasutatakse pärandit Do53.

Pange tähele, et ülaltoodud käsud töötavad ainult Windows 10 versioonis 2004. Vastasel korral annab see teile tõrke: tundmatu parameeter „reaalajas”

DoH -d toetavate nimeserverite loend

Siin on nimekiri DNS-teenuse pakkujatest, kes toetavad DNS-over-HTTPS-i.

Pakkuja	Hostinimi	IP-aadress
AdGuard	dns.adguard.com	176,103,130,132 176,103,130,134
AdGuard	dns-family.adguard.com	176,103,130,132 176,103,130,134
CleanBrowsing	family-filter-dns.cleanbrowsing.org	185,228,168,168 185,228,169,168
CleanBrowsing	adult-filter-dns.cleanbrowsing.org	185,228,168,10 185.228.169.11
Pilvesära	üks.Üks.Üks.Üks 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Pilvesära	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Pilvesära	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
JärgmineDNS	dns.nextdns.io	45.90.28.0 45.90.30.0
OpenDNS	dns.opendns.com	208.67.222.222 208.67.220.220
OpenDNS	familyshield.opendns.com	208.67.222.123 208.67.220.123
OpenDNS	sandbox.opendns.com	208.67.222.2 208.67.220.2
Quad9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149,112,112,112

Ehkki üle HTTPS-i kasutatav DNS muudab veebi turvalisemaks ja seda tuleks kogu veebis ühtlaselt rakendada (nagu HTTPS-i puhul), tekitab see protokoll süsteemiadministraatoritele õudusunenägusid.

Sysadministraatorid peavad leidma viise avalike DNS-teenuste blokeerimiseks, võimaldades samal ajal oma sisemistel DNS-serveritel DoH-d kasutada. Seda tuleb teha, et praegune jälgimisseade ja piirangupoliitika kogu organisatsioonis aktiivne oleks.

Kui mul on artiklist midagi puudu, andke sellest palun allpool kommentaarides teada. Kui teile artikkel meeldis ja õppisite midagi uut, jagage seda oma sõpradega ja sotsiaalmeedias ning tellige meie uudiskiri.