Fexyn
Fexyn

قاموس

ما هو DNS-over-HTTPS (DoH)

يُشفّر استعلامات DNS بين عميلك والمُحلِّل. يخفي الاستعلامات من مزوّد الإنترنت. موحَّد في RFC 8484. مختلف عن VPN لكن مكمِّل.

DNS-over-HTTPS (DoH) هو بروتوكول يُشفّر استعلامات DNS بين عميلك ومُحلِّل DNS. مُوحَّد في RFC 8484 في 2018، ومنشور على نطاق واسع بحلول 2020. يحلّ مشكلة خصوصية محدّدة: استعلامات DNS نصّية واضحة افتراضيًا وتكشف كل نطاق تزوره لمزوّد الإنترنت ولأي شخص يستطيع مراقبة حركة شبكتك.

DoT (DNS-over-TLS) هو المعيار المرتبط الذي يفعل نفس الشيء باستخدام نقل مختلف (TLS عبر المنفذ 853 بدلًا من HTTPS عبر المنفذ 443). كلاهما يحقّقان نفس الهدف؛ DoH مدعوم على نطاق أوسع لأنه يعمل عبر جدران حماية تسمح بـ HTTPS.

ما المشكلة التي يحلّها DoH

DNS القياسي يرسل استعلامات غير مُشفَّرة. حاسوبك يسأل "ما هو IP لـ example.com؟" والإجابة تعود بنصّ واضح. أي شخص يراقب الشبكة — مزوّد الإنترنت، مشغّل Wi-Fi المحلي، مراقبو الشبكة — يستطيع رؤية الاستعلامات.

حتى لو كانت بقية حركتك مُشفَّرة بـ HTTPS، استعلامات DNS تكشف النطاقات التي تزورها. الموقع نفسه غير قابل للقراءة؛ بيانات تعريف أيّ المواقع تزورها مرئية بالكامل.

DoH يلفّ استعلامات DNS في HTTPS. حاسوبك يقوم بـ HTTPS POST إلى مُحلِّل DNS يدعم DoH. الاستعلام والاستجابة مُشفَّران بين حاسوبك والمُحلِّل. مزوّد الإنترنت يرى فقط حركة HTTPS مُشفَّرة إلى مُحلِّل DNS؛ لا يستطيع رؤية ما النطاقات التي استعلمتها.

تحوّل الثقة

DoH يغيّر من يرى استعلامات DNS الخاصة بك:

  • بدون DoH: مزوّد الإنترنت يرى كل استعلامات DNS
  • مع DoH إلى Cloudflare 1.1.1.1: Cloudflare يرى استعلامات DNS؛ مزوّد الإنترنت لا يرى
  • مع DoH إلى Google 8.8.8.8: Google يرى استعلامات DNS؛ مزوّد الإنترنت لا يرى
  • مع DoH إلى NextDNS أو مُحلِّل مستضاف ذاتيًا: ذلك الطرف يرى الاستعلامات

كسب الخصوصية حقيقي لكنه مشروط بالثقة في مزوّد DoH. مزوّدو DoH الكبار ينشرون سياسات خصوصية؛ بعضهم (Cloudflare، Quad9، Mullvad) لديه التزامات لا-سجلات أقوى من غيرهم. تحوّل الثقة هو المقايضة.

أين يقع DoH مع VPN

طبقات:

بدون VPN، مع DoH. مزوّد الإنترنت يرى HTTPS مُشفَّر إلى مُحلِّل DNS. لا يستطيع رؤية استعلاماتك. لا يزال يرى الوجهات التي تتصل بها (عبر SNI في handshakes TLS، بيانات تعريف اتصال على مستوى IP) — DoH يُشفّر فقط DNS، ليس بقية حركتك.

مع VPN، بدون DoH. DNS مزوّد VPN يحلّ استعلاماتك داخل النفق. مزوّد الإنترنت يرى فقط نفق VPN المُشفَّر. مزوّد VPN يرى استعلامات DNS.

مع VPN + DoH داخل النفق. حماية متعدّدة الطبقات. مزوّد VPN يرى حركة DoH مُشفَّرة بدلًا من DNS بنصّ واضح. مفيد إذا أردت الحدّ حتى من رؤية مزوّد VPN لاستعلامات DNS. معظم المستخدمين لا يحتاجون هذا العمق.

لمعظم المستخدمين، VPN وحده كافٍ. VPN يُشفّر النفق كاملًا؛ DNS يُوجَّه داخله؛ التزام VPN لا-سجلات يغطّي رؤية DNS. DoH طبقة داخل هو حزام-وحمّالات.

DoH في المتصفّحات

Firefox يفعّل DoH افتراضيًا في بعض المناطق. Chrome يدعم DoH في الإعدادات المتقدّمة. Edge يدعمه. iOS وmacOS يدعمان DoH على مستوى نظام التشغيل منذ iOS 14 / macOS Big Sur.

DoH على مستوى المتصفّح يتجاوز مُحلِّل DNS لنظام التشغيل. هذا يعني:

  • مُحلِّل DNS لـ VPN قد لا يُستخدم (المتصفّح ذاهب مباشرة عبر DoH)
  • VPN قد لا يرى استعلامات DNS (تسرّب محتمل في بعض التكوينات)
  • مزوّد DoH المختار للمتصفّح يرى الاستعلامات

للمستخدمين الذين يُشغّلون VPN مع DoH متصفّح مفعَّل، تفاعل التكوين يهمّ. معظم عملاء VPN الحديثين (Fexyn، Mullvad، ProtonVPN) يتعاملون مع هذا بشكل صحيح باعتراض حركة DoH على طبقة الشبكة. عملاء VPN الأقدم قد يكون لديهم شروط تسرّب.

DoT مقابل DoH

DNS-over-TLS (DoT) يفعل نفس الشيء باستخدام TLS على المنفذ 853. مقارنة بـ DoH:

  • DoT: منفذ مخصّص (853)، خدمة DNS صريحة، أسهل لمشغّلي الشبكة لتعريفه واحتمال حجبه
  • DoH: يعمل عبر منفذ HTTPS 443، يندمج مع حركة الويب العادية، أصعب حجبًا انتقائيًا

لخصوصية من مزوّدي الإنترنت، خاصية DoH الأصعب-للحجب ميزة. لمسؤولي الشبكة الذين يريدون رؤية في استخدام DNS، DoT أسهل للمراقبة.

مزوّدون شائعون

مُحلِّلات عامة كبرى تدعم DoH:

  • Cloudflare 1.1.1.1. ادّعاء لا-سجلات قوي. متغيّر حجب الإعلانات متاح على 1.1.1.2. متغيّر آمن للعائلة على 1.1.1.3.
  • Google 8.8.8.8. لا سجلات لبيانات المستخدم الشخصية؛ Google تحتفظ بالتجميع.
  • Quad9 9.9.9.9. مركّز على الخصوصية؛ تشغيل غير ربحي.
  • NextDNS. قابل للتكوين؛ تصفية خاصة بالمستخدم. نموذج اشتراك بخصوصية قوية.
  • Mullvad DNS. مركّز على الخصوصية؛ مقترن بخدمة Mullvad VPN.

للمستخدمين الذين يريدون DoH على مستوى المتصفّح بدون VPN، Cloudflare 1.1.1.1 هو التوصية القياسية. سريع، موثوق، لا-سجلات.

ما لا يحلّه DoH

  • الوجهة لا تزال مرئية. مزوّد الإنترنت لا يستطيع رؤية استعلام DNS لكن يستطيع رؤية IP الذي تتصل به وSNI في handshake TLS. يتعلّمون النطاق على أيّ حال، فقط من ناقل مختلف.
  • التتبّع على مستوى التطبيق يستمر. بصمة المتصفّح، ملفات تعريف الارتباط، الخدمات المسجَّل دخولها — كلها لا تزال تعمل.
  • مزوّد DoH يرى الاستعلامات. الثقة تتحوّل إليه.

لخصوصية DNS شاملة، DoH + VPN + مزوّد DNS لا-سجلات داخل نفق VPN يغطّي النواقل الرئيسية. لخصوصية مزوّد الإنترنت فقط، DoH وحده جزئي؛ VPN أكثر اكتمالًا.

جرّب Fexyn مجانًا لمدة 7 أيام — VPN مع حلّ DNS لا-سجلات داخل النفق؛ دعم DoH طبقي متاح.

مصطلحات ذات صلة

جرّب Fexyn مجانًا لمدة 7 أيام

تطبيق Windows متاح الآن في النسخة التجريبية. WireGuard وVLESS Reality وOpenVPN دون تسجيل سجلّ التصفح أو استعلامات DNS أو محتوى حركة البيانات.

الأسعار
ما هو DNS-over-HTTPS (DoH) | Fexyn VPN