Глоссарий
Что такое DNS-over-HTTPS (DoH)
Шифрует DNS-запросы между клиентом и резолвером. Скрывает запросы от провайдера. Стандартизован в RFC 8484. Не VPN, но дополняет.
DNS-over-HTTPS (DoH) — протокол, шифрующий DNS-запросы между клиентом и DNS-резолвером. Стандартизован в RFC 8484 в 2018, широко развёрнут к 2020. Решает конкретную privacy-проблему: DNS-запросы по умолчанию идут plaintext и раскрывают каждый домен, который ты посещаешь, провайдеру и любому, кто может наблюдать сетевой трафик.
DoT (DNS-over-TLS) — смежный стандарт, делающий то же самое через другой транспорт (TLS на порту 853 вместо HTTPS на 443). Цель та же; DoH шире поддержан, потому что проходит через фаерволы, пропускающие HTTPS.
Какую проблему решает DoH
Стандартный DNS отправляет запросы нешифрованно. Компьютер спрашивает "какой IP у example.com?", и ответ возвращается в plaintext. Любой, кто наблюдает сеть — провайдер, оператор Wi-Fi, мониторинг — видит запросы.
Даже если остальной трафик зашифрован HTTPS, DNS-запросы раскрывают, какие домены ты посещаешь. Сам сайт нечитаем; метаданные о том, какие сайты ты посещаешь, полностью видны.
DoH оборачивает DNS-запросы в HTTPS. Компьютер делает HTTPS POST на DoH-резолвер. Запрос и ответ зашифрованы между компьютером и резолвером. Провайдер видит только зашифрованный HTTPS-трафик к DNS-резолверу; не видит, какие домены ты запрашивал.
Сдвиг доверия
DoH меняет, кто видит твои DNS-запросы:
- Без DoH: провайдер видит все DNS-запросы
- С DoH к Cloudflare 1.1.1.1: Cloudflare видит запросы; провайдер — нет
- С DoH к Google 8.8.8.8: Google видит запросы; провайдер — нет
- С DoH к NextDNS или своему резолверу: эта сторона видит запросы
Privacy-выигрыш реальный, но условный — нужно доверять DoH-провайдеру. Крупные DoH-провайдеры публикуют privacy-политики; у части (Cloudflare, Quad9, Mullvad) более сильные no-logs обязательства. Сдвиг доверия — компромисс.
Где DoH сочетается с VPN
Слоями:
Без VPN, с DoH. Провайдер видит зашифрованный HTTPS к DNS-резолверу. Запросы не виден. Видны destinations, к которым ты подключаешься (через SNI в TLS handshake, через IP-уровень) — DoH шифрует только DNS, не остальной трафик.
С VPN, без DoH. DNS-резолвер VPN-провайдера обрабатывает запросы внутри туннеля. Провайдер видит только зашифрованный VPN-туннель. VPN-провайдер видит DNS-запросы.
С VPN + DoH внутри туннеля. Слоистая защита. VPN-провайдер видит зашифрованный DoH-трафик вместо открытого DNS. Полезно, чтобы ограничить даже видимость VPN-провайдера в DNS-запросах. Большинству пользователей такая глубина не нужна.
Для большинства VPN сам по себе достаточен. VPN шифрует весь туннель; DNS идёт внутри; no-logs обязательство VPN покрывает видимость DNS. DoH внутри — пояс плюс подтяжки.
DoH в браузерах
Firefox включает DoH по умолчанию в части регионов. Chrome поддерживает в продвинутых настройках. Edge поддерживает. iOS и macOS поддерживают DoH на уровне ОС с iOS 14 / macOS Big Sur.
Браузерный DoH обходит OS DNS-резолвер. То есть:
- DNS-резолвер VPN может не использоваться (браузер идёт напрямую через DoH)
- VPN может не видеть DNS-запросы (потенциальная утечка в части конфигураций)
- DoH-провайдер браузера видит запросы
Кто запускает VPN с включённым браузерным DoH — взаимодействие конфигураций важно. Современные VPN-клиенты (Fexyn, Mullvad, ProtonVPN) обрабатывают это корректно, перехватывая DoH-трафик на сетевом уровне. Старые VPN-клиенты могут иметь утечки.
DoT vs DoH
DNS-over-TLS (DoT) делает то же самое через TLS на порту 853. Сравнение с DoH:
- DoT: выделенный порт (853), явный DNS-сервис, проще для сетевых операторов идентифицировать и потенциально блокировать
- DoH: идёт по HTTPS на 443, сливается с обычным веб-трафиком, сложнее блокировать выборочно
Для приватности от провайдеров свойство DoH "сложнее блокировать" — преимущество. Сетевым админам, которым нужна видимость в DNS, DoT удобнее мониторить.
Распространённые провайдеры
Крупные DoH-резолверы:
- Cloudflare 1.1.1.1. Сильное no-logs заявление. Anti-ad вариант на 1.1.1.2. Family-safe на 1.1.1.3.
- Google 8.8.8.8. No-logs для персональных данных пользователя; Google сохраняет агрегаты.
- Quad9 9.9.9.9. Privacy-фокусированный; non-profit.
- NextDNS. Конфигурируемый; пользовательская фильтрация. Подписочная модель с сильной приватностью.
- Mullvad DNS. Privacy-фокусированный; в паре с Mullvad VPN.
Кому нужен браузерный DoH без VPN — Cloudflare 1.1.1.1 стандартная рекомендация. Быстрый, надёжный, no-logs.
Чего DoH не решает
- Destination всё ещё видим. Провайдер не видит DNS-запрос, но видит IP, к которому ты подключаешься, и SNI в TLS handshake. Узнаёт домен из другого вектора.
- Трекинг на уровне приложения продолжается. Браузерный фингерпринтинг, cookies, залогиненные сервисы — всё работает.
- DoH-провайдер видит запросы. Доверие смещается к нему.
Для комплексной DNS-приватности DoH + VPN + no-logs DNS-провайдер внутри VPN-туннеля покрывают основные векторы. Для приватности только от провайдера DoH в одиночку частичен; VPN полнее.
Попробуй Fexyn бесплатно 7 дней — VPN с no-logs DNS-резолюцией внутри туннеля; слоистая поддержка DoH доступна.
Связанные термины
Попробуй Fexyn бесплатно 7 дней
Приложение для Windows доступно сейчас в бета-версии. WireGuard, VLESS Reality и OpenVPN — без логов истории просмотров, DNS-запросов и содержимого трафика.
Цены