Mi az a DNS-over-HTTPS és hogyan lehet engedélyezni a készüléken (vagy böngészőben)
- Kategória: Útmutatók
A DNS-over-HTTPS (Secure DNS) egy új technológia, amelynek célja, hogy biztonságosabbá tegye a webböngészést az ügyfélszámítógép és a DNS-kiszolgáló közötti kommunikáció titkosításával.
Ezt az új internetes szabványt széles körben alkalmazzák. Az elfogadási listában szerepel a Windows 10 (2004 -es verzió), az Android 9 Pie, a Google Chrome, a Mozilla Firefox, a Microsoft Edge, az Opera és a Vivaldi.
Ebben a cikkben a DNS-HTTPS protokoll előnyeiről és hátrányairól fogunk beszélni, valamint arról, hogyan engedélyezheti ezt a protokollt az eszközein.
Azt is megvitatjuk, hogyan lehet tesztelni, hogy a DoH engedélyezve van -e az eszközökön.
Kezdjük. Gyors összefoglaló elrejt 1 A DNS-over-HTTPS és annak működésének egyszerű magyarázata 2 A DNS-over-HTTPS előnyei és hátrányai 2.1 A DoH nem teszi lehetővé a felhasználó teljes titkosságát 2.2 A DoH nem vonatkozik a HTTP lekérdezésekre 2.3 Nem minden DNS -kiszolgáló támogatja a DoH -t 2.4 A DoH fejtörést okoz a vállalkozásoknak 3 Lassítja a böngészést a DNS-over-HTTPS használata? 4 A DNS-over-HTTPS engedélyezése vagy letiltása a Windows 10 rendszeren 4.1 A Windows rendszerleíró adatbázis használata 4.2 Csoportházirend használata 4.3 A PowerShell használata (parancssor) 5 A DNS-over-HTTPS engedélyezése vagy letiltása a böngészőben 5.1 A DNS-over-HTTPS engedélyezése a Google Chrome-ban 5.2 A DNS-over-HTTPS engedélyezése a Mozilla Firefoxban 5.3 A DNS-over-HTTPS engedélyezése a Microsoft Edge-ben 5.4 A DNS-over-HTTPS engedélyezése az Opera böngészőben 5.5 A DNS-over-HTTPS engedélyezése a Vivaldi böngészőben 6 Hogyan engedélyezhető a DNS-over-HTTPS Android rendszeren 7 Hogyan ellenőrizheti, hogy DNS-over-HTTPS protokollt használ-e? 8 A DoH -t támogató névszerverek listája
A DNS-over-HTTPS és annak működésének egyszerű magyarázata
A DNS-over-HTTPS (DoH) egy protokoll a számítógép és a DNS-kiszolgáló közötti DNS-lekérdezések titkosítására. Először 2018 októberében mutatták be ( IETF RFC 8484 ) a felhasználók biztonságának és magánéletének növelése érdekében.
A hagyományos DNS-kiszolgálók az 53-as DNS-portot használják a kommunikációhoz, míg a DNS-over-HTTPS a 443-as HTTPS-portot használja a biztonságos kommunikációhoz az ügyféllel.
Kérjük, vegye figyelembe, hogy bár a DoH biztonsági protokoll, nem akadályozza meg az internetszolgáltatókat a kéréseinek nyomon követésében. Egyszerűen titkosítja a DNS-lekérdezési adatokat a számítógép és az internetszolgáltató között, hogy megakadályozza az olyan problémákat, mint a hamisítás, az emberközeli támadás stb.
Ezt értsük meg egy egyszerű példával.
A DNS működése a következő:
- Ha meg szeretné nyitni az itechtics.com domain nevet, és böngészőjével szeretné kérni.
- Böngészője kérést küld a rendszerben konfigurált DNS -kiszolgálóra, például: 1.1.1.1.
- A DNS rekurzív feloldó (1.1.1.1) a legfelső szintű tartomány (TLD) gyökérkiszolgálóihoz megy (esetünkben .com), és megkéri az itechtics.com névszervereit.
- Ezután a DNS -kiszolgáló (1.1.1.1.) Az itechtics.com névszervereihez megy, és megkérdezi az itechtics.com DNS -név IP -címét.
- A DNS -kiszolgáló (1.1.1.1.) Továbbítja ezeket az információkat a böngészőhöz, és a böngésző csatlakozik az itechtics.com -hoz, és választ kap a szervertől.
Mindez a kommunikáció a számítógépről a DNS -kiszolgálóra a TLD DNS -kiszolgálókra, a névszerverekre a webhelyre és vissza egyszerű szöveges üzenetek formájában történik.
Ez azt jelenti, hogy bárki figyelemmel kísérheti webes forgalmát, és könnyen tudja, hogy mely webhelyeket nyitja meg.
A DNS-over-HTTPS titkosítja a számítógép és a DNS-kiszolgáló közötti kommunikációt, biztonságosabbá téve azt, és kevésbé hajlamos az emberközép és más hamis támadásokra.
Ezt értsük meg egy vizuális példával:
Amikor a DNS -ügyfél a DoH használata nélkül küld DNS -lekérdezéseket a DNS -kiszolgálónak:
A HTTPS protokollon keresztüli DNS nincs engedélyezve
Ha egy DoH -ügyfél a DoH protokollt használja a DNS -forgalom küldésére a DoH -kompatibilis DNS -kiszolgálóra:
A HTTPS protokollon keresztüli DNS engedélyezve
Itt látható, hogy az ügyfél és a szerver közötti DNS -forgalom titkosítva van, és senki sem tudja, mit kért az ügyfél. A kiszolgáló DNS -válasza is titkosítva van.
A DNS-over-HTTPS előnyei és hátrányai
Bár a DNS-over-HTTPS lassan felváltja a régi DNS-rendszert, ennek megvannak a maga előnyei és lehetséges problémái. Beszéljünk itt néhányukról.
A DoH nem teszi lehetővé a felhasználó teljes titkosságát
A DoH -t a következő nagy dolognak tartják a felhasználói adatvédelemben és biztonságban, de véleményem szerint csak a felhasználói biztonságra összpontosít, és nem a magánéletre.
Ha tudja, hogyan működik ez a protokoll, akkor tudja, hogy a DoH nem akadályozza meg az internetszolgáltatókat a felhasználói DNS -kérések nyomon követésében.
Még akkor is, ha az internetszolgáltató nem tudja nyomon követni Önt a DNS használatával, mert más nyilvános DNS -szolgáltatót használ, sok olyan adatpont áll rendelkezésre, amelyek továbbra is nyitva állnak az internetszolgáltatók számára a nyomon követés érdekében. Például, A kiszolgálónév -jelzés (SNI) mezők és Online tanúsítványállapot -protokoll (OCSP) kapcsolatok stb.
Ha nagyobb magánéletre vágyik, nézzen meg más technológiákat, például a DNS-over-TLS (DoT), a DNSCurve, a DNSCrypt stb.
A DoH nem vonatkozik a HTTP lekérdezésekre
Ha olyan webhelyet nyit meg, amely nem SSL használatával működik, a DoH szerver visszaáll a korábbi DNS technológiára (DNS-over-HTTP), más néven Do53.
De ha mindenhol biztonságos kommunikációt használ, a DoH határozottan jobb, mint a puszta fém régi és nem biztonságos DNS -technológiák használata.
Nem minden DNS -kiszolgáló támogatja a DoH -t
Számos régi DNS-kiszolgálót kell frissíteni a DNS-over-HTTPS támogatásához. Ez sokáig tart majd, amikor széles körben elfogadják.
Amíg ezt a protokollt a legtöbb DNS -kiszolgáló nem támogatja, a legtöbb felhasználó kénytelen lesz a nagy szervezetek által kínált nyilvános DNS -kiszolgálókat használni.
Ez további adatvédelmi problémákhoz vezet, mivel a legtöbb DNS -adatot néhány központosított helyen gyűjtik szerte a világon.
A DoH korai bevezetésének másik hátránya, hogy ha egy globális DNS -kiszolgáló leáll, akkor a kiszolgálót használó felhasználók többségét megszakítja a névfeloldáshoz.
A DoH fejtörést okoz a vállalkozásoknak
A DoH javítja a biztonságot, de fejtörést okoz azoknak a vállalkozásoknak és szervezeteknek, amelyek figyelemmel kísérik alkalmazottaik tevékenységét, és eszközökkel blokkolják az NSFW (nem biztonságos a munkához) webes részeket.
A hálózati és a rendszergazdák nehezen birkóznak meg az új protokollal.
Lassítja a böngészést a DNS-over-HTTPS használata?
A DoH két aspektusára kell figyelni, amikor a teljesítményt teszteli a korábbi Do53 protokollhoz képest:
- Névfelbontási teljesítmény
- Weboldal betöltési teljesítmény
A névfeloldási teljesítmény az a mérőszám, amellyel kiszámítjuk, hogy a DNS -kiszolgálónak mennyi ideig kell megadnia a meglátogatni kívánt webhely szükséges szerver IP -címét.
A weboldal betöltési teljesítménye az a tényleges mutató, amely szerint érezzük, hogy lassulást tapasztalunk, amikor az Interneten böngészünk a DNS-over-HTTPS protokoll használatával.
Mindkét tesztet a samknows végezte, és a végeredmény az, hogy a DNS-over-HTTPS és a korábbi Do53 protokollok teljesítménye között elhanyagolható különbség van.
Elolvashatja a teljes teljesítményes esettanulmány a samknows statisztikáival .
Itt találhatók a fent meghatározott egyes mutatók összesítő táblái. (Kattintson a képre a nagyobb megtekintéshez)
Névfelbontási teljesítmény teszt
DoH vs Do53 internetszolgáltatók teljesítménytáblája
Weboldal betöltési teljesítmény teszt
DoH vs Do53 weboldal betöltési teljesítmény
A DNS-over-HTTPS engedélyezése vagy letiltása a Windows 10 rendszeren
A Windows 10 2004-es verziója alapértelmezés szerint engedélyezi a DNS-over-HTTPS protokollt. Tehát a Windows 10 következő verziójának megjelenése és a legújabb verzióra történő frissítés után nem kell manuálisan engedélyezni a DoH -t.
Ha azonban a Windows 10 Insider Preview alkalmazást használja, manuálisan kell engedélyeznie a DoH -t a következő módszerek használatával:
A Windows rendszerleíró adatbázis használata
- Menj Futtassa -> regedit . Ez megnyitja a Windows rendszerleíróadatbázis -szerkesztőt.
- Nyissa meg a következő rendszerleíró kulcsot:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
- Kattintson a jobb gombbal Paraméterek mappát, és válassza a lehetőséget Új-> DWORD (32 bites) Érték.
- Nevezd meg EnableAutoDoh .
- Állítsa az EnableAutoDoh bejegyzés értékét erre 2 .
A módosítások életbe léptetéséhez újra kell indítani a számítógépet.
Kérjük, vegye figyelembe, hogy ez a módosítás csak akkor lép hatályba, ha a DNS-over-HTTPS protokollt támogató DNS-kiszolgálókat használja. Az alábbiakban a DoH -t támogató nyilvános DNS -szolgáltatók listája .
A Windows 10 korábbi verziói, beleértve az 1909 -es és az 1903 -as verziót, alapértelmezés szerint nem támogatják a DoH -t.
Csoportházirend használata
Ezt a részt megtartom későbbi használatra. Jelenleg nincsenek csoportházirend-szabályok a DNS-over-HTTPS protokollra. Töltsük ki a lépéseket, amikor a Microsoft elérhetővé teszi őket a Windows 10 2004 -es verziójához.
A PowerShell használata (parancssor)
Ezt a részt megtartom későbbi használatra. Ha a Microsoft módot ad a DoH engedélyezésére vagy letiltására a parancssor használatával, akkor itt soroljuk fel a lépéseket.
A DNS-over-HTTPS engedélyezése vagy letiltása a böngészőben
Egyes alkalmazások támogatják a rendszer által konfigurált DNS-kiszolgáló megkerülését, és helyette a DNS-over-HTTPS protokollt használják. Szinte minden modern böngésző vagy már támogatja a DoH -t, vagy a közeljövőben támogatja a protokollt.
A DNS-over-HTTPS engedélyezése a Google Chrome-ban
- Nyissa meg a Google Chrome -ot, és lépjen a következő URL -re:
chrome://settings/security
- Alatt Speciális biztonság , bekapcsolni Használjon biztonságos DNS -t .
- A biztonságos DNS engedélyezése után két lehetőség közül választhat:
- A jelenlegi szolgáltatóval
- A Google által ajánlott szolgáltatókkal
Kiválaszthatja az Önnek megfelelőt. A második lehetőség felülírja a rendszer DNS-beállításait.
A biztonságos DNS engedélyezése a Google Chrome -ban
A DoH letiltásához egyszerűen kapcsolja be a Használjon biztonságos DNS -t beállításokat ki .
A DNS-over-HTTPS engedélyezése a Mozilla Firefoxban
- Nyissa meg a Firefoxot, és lépjen a következő URL -re:
about:preferences
- Alatt Tábornok , menj Hálózati beállítások és kattintson a Beállítások gomb. Vagy egyszerűen nyomja meg a gombot ÉS billentyűzet gomb a beállítások megnyitásához.
- Görgessen lefelé és jelölje be A DNS engedélyezése HTTPS protokollon keresztül .
- A legördülő menüből kiválaszthatja a kívánt biztonságos DNS-kiszolgálót.
A DNS-over-HTTPS engedélyezése a Microsoft Edge-ben
- Nyissa meg a Microsoft Edge alkalmazást, és lépjen a következő URL -re:
edge://flags/#dns-over-https
- Válassza a lehetőséget Engedélyezve a melletti legördülő menüből Biztonságos DNS -keresések .
- Indítsa újra a böngészőt, hogy a módosítások érvénybe lépjenek.
A DNS-over-HTTPS engedélyezése az Opera böngészőben
- Nyissa meg az Opera böngészőt, és lépjen a Beállítások (Alt + P) elemre.
- Kiterjed Fejlett a bal oldali menüben.
- A Rendszer alatt, bekapcsolni A rendszer DNS-beállításai helyett használjon DNS-over-HTTPS protokollt .
- Indítsa újra a böngészőt, hogy a módosítások érvénybe lépjenek.
A biztonságos DNS-beállítások nem léptek érvénybe, amíg le nem tiltottam az Opera beépített VPN-szolgáltatását. Ha problémái vannak a DoH engedélyezésével az Operában, próbálja meg letiltani a VPN -t.
A DNS-over-HTTPS engedélyezése a Vivaldi böngészőben
- Nyissa meg a Vivaldi böngészőt, és lépjen a következő URL -re:
vivaldi://flags/#dns-over-https
- Válassza a lehetőséget Engedélyezve a melletti legördülő menüből Biztonságos DNS -keresések .
- Indítsa újra a böngészőt, hogy a módosítások érvénybe lépjenek.
Hogyan engedélyezhető a DNS-over-HTTPS Android rendszeren
Az Android 9 Pie támogatja a DoH beállításokat. Kövesse az alábbi lépéseket a DoH engedélyezéséhez Android telefonján:
- Menj Beállítások → Hálózat és internet → Speciális → Privát DNS .
- Ezt az opciót beállíthatja Auto értékre, vagy megadhat egy biztonságos DNS -szolgáltatót.
Ha nem találja ezeket a beállításokat a telefonján, kövesse az alábbi lépéseket:
- Töltse le és nyissa meg a QuickShortcutMaker alkalmazást a Google Play Áruházból.
- Lépjen a Beállítások elemre, és érintse meg a gombot:
com.android.settings.Settings$NetworkDashboardActivity
Ezzel közvetlenül a hálózati beállítások oldalra jut, ahol megtalálja a biztonságos DNS opciót.
Hogyan ellenőrizheti, hogy DNS-over-HTTPS protokollt használ-e?
Kétféleképpen ellenőrizheti, hogy a DoH megfelelően engedélyezve van -e az eszközön vagy a böngészőben.
Ezt a legegyszerűbben úgy ellenőrizheti, ha megy ezt a cloudflare böngészési élmény ellenőrző oldalt . Kattints a Ellenőrizze a Saját böngészőt gomb.
A Biztonságos DNS alatt a következő üzenetet kapja, ha DoH -t használ: | _+_ |
Ha nem használja a DoH -t, akkor a következő üzenetet fogja kapni: | _+_ |
A Windows 10 2004-es verziója lehetővé teszi az 53-as port csomagjainak valós idejű figyelését is. Ez megmondja nekünk, hogy a rendszer DNS-over-HTTPS protokollt vagy a korábbi Do53-at használja.
- Nyissa meg a PowerShell -t rendszergazdai jogosultságokkal.
- Futtassa a következő parancsokat:
pktmon filter remove
Ezzel eltávolítja az összes aktív szűrőt, ha van ilyen.pktmon filter add -p 53
Ez hozzáadja az 53 -as portot figyelni és naplózni.pktmon start --etw -m real-time
Ez az 53-as port valós idejű megfigyelésével kezdődik.
Ha azt látja, hogy nagy forgalom jelenik meg a listában, ez azt jelenti, hogy a DoH3 -at használja a DoH3 helyett.
Kérjük, vegye figyelembe, hogy a fent említett parancsok csak a Windows 10 2004-es verziójában működnek. Ellenkező esetben hibaüzenet jelenik meg: Ismeretlen paraméter „valós idejű”
A DoH -t támogató névszerverek listája
Itt található a DNS-over-HTTPS protokollt támogató DNS-szolgáltatók listája.
Szolgáltató | Gazdanév | IP-cím |
AdGuard | dns.adguard.com | 176,103,130,132 176,103,130,134 |
AdGuard | dns-family.adguard.com | 176,103,130,132 176,103,130,134 |
CleanBrowsing | family-filter-dns.cleanbrowsing.org | 185,228,168,168 185,228,169,168 |
CleanBrowsing | adult-filter-dns.cleanbrowsing.org | 185.228.168.10 185.228.169.11 |
Cloudflare | egy.egyik.egyik 1dot1dot1dot1.cloudflare-dns.com | 1.1.1.1 1.0.0.1 |
Cloudflare | security.cloudflare-dns.com | 1.1.1.2 1.0.0.2 |
Cloudflare | family.cloudflare-dns.com | 1.1.1.3 1.0.0.3 |
dns.google google-public-dns-a.google.com google-public-dns-b.google.com | 8.8.8.8 8.8.4.4 | |
NextDNS | dns.nextdns.io | 45.90.28.0 45.90.30.0 |
OpenDNS | dns.opendns.com | 208.67.222.222 208.67.220.220 |
OpenDNS | familyshield.opendns.com | 208.67.222.123 208.67.220.123 |
OpenDNS | sandbox.opendns.com | 208.67.222.2 208.67.220.2 |
Quad9 | dns.quad9.net rpz-public-resolver1.rrdns.pch.net | 9.9.9.9 149,112,112,112 |
Bár a DNS-over-HTTPS biztonságosabbá teszi a webet, és egységesen kell végrehajtani az interneten (például a HTTPS esetében), ez a protokoll rémálmokat fog adni a rendszergazdáknak.
A rendszergazdáknak meg kell találniuk a módszereket a nyilvános DNS-szolgáltatások letiltására, miközben lehetővé teszik saját DNS-kiszolgálóik számára a DoH használatát. Ezt meg kell tenni annak érdekében, hogy a jelenlegi felügyeleti berendezések és korlátozási irányelvek aktívak maradjanak az egész szervezetben.
Ha valamit kihagytam a cikkből, kérjük, jelezze az alábbi megjegyzésekben. Ha tetszett a cikk, és valami újat tanult, ossza meg barátaival és a közösségi médiában, és iratkozzon fel hírlevelünkre.