Mi az a DNS-over-HTTPS és hogyan lehet engedélyezni a készüléken (vagy böngészőben)

Próbálja Ki A Műszerünket A Problémák Kiküszöbölésére

A DNS-over-HTTPS (Secure DNS) egy új technológia, amelynek célja, hogy biztonságosabbá tegye a webböngészést az ügyfélszámítógép és a DNS-kiszolgáló közötti kommunikáció titkosításával.

Ezt az új internetes szabványt széles körben alkalmazzák. Az elfogadási listában szerepel a Windows 10 (2004 -es verzió), az Android 9 Pie, a Google Chrome, a Mozilla Firefox, a Microsoft Edge, az Opera és a Vivaldi.

Ebben a cikkben a DNS-HTTPS protokoll előnyeiről és hátrányairól fogunk beszélni, valamint arról, hogyan engedélyezheti ezt a protokollt az eszközein.

Azt is megvitatjuk, hogyan lehet tesztelni, hogy a DoH engedélyezve van -e az eszközökön.

Kezdjük. Gyors összefoglaló elrejt 1 A DNS-over-HTTPS és annak működésének egyszerű magyarázata 2 A DNS-over-HTTPS előnyei és hátrányai 2.1 A DoH nem teszi lehetővé a felhasználó teljes titkosságát 2.2 A DoH nem vonatkozik a HTTP lekérdezésekre 2.3 Nem minden DNS -kiszolgáló támogatja a DoH -t 2.4 A DoH fejtörést okoz a vállalkozásoknak 3 Lassítja a böngészést a DNS-over-HTTPS használata? 4 A DNS-over-HTTPS engedélyezése vagy letiltása a Windows 10 rendszeren 4.1 A Windows rendszerleíró adatbázis használata 4.2 Csoportházirend használata 4.3 A PowerShell használata (parancssor) 5 A DNS-over-HTTPS engedélyezése vagy letiltása a böngészőben 5.1 A DNS-over-HTTPS engedélyezése a Google Chrome-ban 5.2 A DNS-over-HTTPS engedélyezése a Mozilla Firefoxban 5.3 A DNS-over-HTTPS engedélyezése a Microsoft Edge-ben 5.4 A DNS-over-HTTPS engedélyezése az Opera böngészőben 5.5 A DNS-over-HTTPS engedélyezése a Vivaldi böngészőben 6 Hogyan engedélyezhető a DNS-over-HTTPS Android rendszeren 7 Hogyan ellenőrizheti, hogy DNS-over-HTTPS protokollt használ-e? 8 A DoH -t támogató névszerverek listája

A DNS-over-HTTPS és annak működésének egyszerű magyarázata

A DNS-over-HTTPS (DoH) egy protokoll a számítógép és a DNS-kiszolgáló közötti DNS-lekérdezések titkosítására. Először 2018 októberében mutatták be ( IETF RFC 8484 ) a felhasználók biztonságának és magánéletének növelése érdekében.

A hagyományos DNS-kiszolgálók az 53-as DNS-portot használják a kommunikációhoz, míg a DNS-over-HTTPS a 443-as HTTPS-portot használja a biztonságos kommunikációhoz az ügyféllel.

Kérjük, vegye figyelembe, hogy bár a DoH biztonsági protokoll, nem akadályozza meg az internetszolgáltatókat a kéréseinek nyomon követésében. Egyszerűen titkosítja a DNS-lekérdezési adatokat a számítógép és az internetszolgáltató között, hogy megakadályozza az olyan problémákat, mint a hamisítás, az emberközeli támadás stb.

Ezt értsük meg egy egyszerű példával.

A DNS működése a következő:

  1. Ha meg szeretné nyitni az itechtics.com domain nevet, és böngészőjével szeretné kérni.
  2. Böngészője kérést küld a rendszerben konfigurált DNS -kiszolgálóra, például: 1.1.1.1.
  3. A DNS rekurzív feloldó (1.1.1.1) a legfelső szintű tartomány (TLD) gyökérkiszolgálóihoz megy (esetünkben .com), és megkéri az itechtics.com névszervereit.
  4. Ezután a DNS -kiszolgáló (1.1.1.1.) Az itechtics.com névszervereihez megy, és megkérdezi az itechtics.com DNS -név IP -címét.
  5. A DNS -kiszolgáló (1.1.1.1.) Továbbítja ezeket az információkat a böngészőhöz, és a böngésző csatlakozik az itechtics.com -hoz, és választ kap a szervertől.

Mindez a kommunikáció a számítógépről a DNS -kiszolgálóra a TLD DNS -kiszolgálókra, a névszerverekre a webhelyre és vissza egyszerű szöveges üzenetek formájában történik.

Ez azt jelenti, hogy bárki figyelemmel kísérheti webes forgalmát, és könnyen tudja, hogy mely webhelyeket nyitja meg.

A DNS-over-HTTPS titkosítja a számítógép és a DNS-kiszolgáló közötti kommunikációt, biztonságosabbá téve azt, és kevésbé hajlamos az emberközép és más hamis támadásokra.

Ezt értsük meg egy vizuális példával:

Amikor a DNS -ügyfél a DoH használata nélkül küld DNS -lekérdezéseket a DNS -kiszolgálónak:

A HTTPS protokollon keresztüli DNS nincs engedélyezve

Ha egy DoH -ügyfél a DoH protokollt használja a DNS -forgalom küldésére a DoH -kompatibilis DNS -kiszolgálóra:

A HTTPS protokollon keresztüli DNS engedélyezve

Itt látható, hogy az ügyfél és a szerver közötti DNS -forgalom titkosítva van, és senki sem tudja, mit kért az ügyfél. A kiszolgáló DNS -válasza is titkosítva van.

A DNS-over-HTTPS előnyei és hátrányai

Bár a DNS-over-HTTPS lassan felváltja a régi DNS-rendszert, ennek megvannak a maga előnyei és lehetséges problémái. Beszéljünk itt néhányukról.

A DoH nem teszi lehetővé a felhasználó teljes titkosságát

A DoH -t a következő nagy dolognak tartják a felhasználói adatvédelemben és biztonságban, de véleményem szerint csak a felhasználói biztonságra összpontosít, és nem a magánéletre.

Ha tudja, hogyan működik ez a protokoll, akkor tudja, hogy a DoH nem akadályozza meg az internetszolgáltatókat a felhasználói DNS -kérések nyomon követésében.

Még akkor is, ha az internetszolgáltató nem tudja nyomon követni Önt a DNS használatával, mert más nyilvános DNS -szolgáltatót használ, sok olyan adatpont áll rendelkezésre, amelyek továbbra is nyitva állnak az internetszolgáltatók számára a nyomon követés érdekében. Például, A kiszolgálónév -jelzés (SNI) mezők és Online tanúsítványállapot -protokoll (OCSP) kapcsolatok stb.

Ha nagyobb magánéletre vágyik, nézzen meg más technológiákat, például a DNS-over-TLS (DoT), a DNSCurve, a DNSCrypt stb.

A DoH nem vonatkozik a HTTP lekérdezésekre

Ha olyan webhelyet nyit meg, amely nem SSL használatával működik, a DoH szerver visszaáll a korábbi DNS technológiára (DNS-over-HTTP), más néven Do53.

De ha mindenhol biztonságos kommunikációt használ, a DoH határozottan jobb, mint a puszta fém régi és nem biztonságos DNS -technológiák használata.

Nem minden DNS -kiszolgáló támogatja a DoH -t

Számos régi DNS-kiszolgálót kell frissíteni a DNS-over-HTTPS támogatásához. Ez sokáig tart majd, amikor széles körben elfogadják.

Amíg ezt a protokollt a legtöbb DNS -kiszolgáló nem támogatja, a legtöbb felhasználó kénytelen lesz a nagy szervezetek által kínált nyilvános DNS -kiszolgálókat használni.

Ez további adatvédelmi problémákhoz vezet, mivel a legtöbb DNS -adatot néhány központosított helyen gyűjtik szerte a világon.

A DoH korai bevezetésének másik hátránya, hogy ha egy globális DNS -kiszolgáló leáll, akkor a kiszolgálót használó felhasználók többségét megszakítja a névfeloldáshoz.

A DoH fejtörést okoz a vállalkozásoknak

A DoH javítja a biztonságot, de fejtörést okoz azoknak a vállalkozásoknak és szervezeteknek, amelyek figyelemmel kísérik alkalmazottaik tevékenységét, és eszközökkel blokkolják az NSFW (nem biztonságos a munkához) webes részeket.

A hálózati és a rendszergazdák nehezen birkóznak meg az új protokollal.

Lassítja a böngészést a DNS-over-HTTPS használata?

A DoH két aspektusára kell figyelni, amikor a teljesítményt teszteli a korábbi Do53 protokollhoz képest:

  1. Névfelbontási teljesítmény
  2. Weboldal betöltési teljesítmény

A névfeloldási teljesítmény az a mérőszám, amellyel kiszámítjuk, hogy a DNS -kiszolgálónak mennyi ideig kell megadnia a meglátogatni kívánt webhely szükséges szerver IP -címét.

A weboldal betöltési teljesítménye az a tényleges mutató, amely szerint érezzük, hogy lassulást tapasztalunk, amikor az Interneten böngészünk a DNS-over-HTTPS protokoll használatával.

Mindkét tesztet a samknows végezte, és a végeredmény az, hogy a DNS-over-HTTPS és a korábbi Do53 protokollok teljesítménye között elhanyagolható különbség van.

Elolvashatja a teljes teljesítményes esettanulmány a samknows statisztikáival .

Itt találhatók a fent meghatározott egyes mutatók összesítő táblái. (Kattintson a képre a nagyobb megtekintéshez)

Névfelbontási teljesítmény teszt DoH vs Do53 internetszolgáltatók teljesítménytáblája

DoH vs Do53 internetszolgáltatók teljesítménytáblája

Weboldal betöltési teljesítmény teszt DoH vs Do53 weboldal betöltési teljesítmény

DoH vs Do53 weboldal betöltési teljesítmény

A DNS-over-HTTPS engedélyezése vagy letiltása a Windows 10 rendszeren

A Windows 10 2004-es verziója alapértelmezés szerint engedélyezi a DNS-over-HTTPS protokollt. Tehát a Windows 10 következő verziójának megjelenése és a legújabb verzióra történő frissítés után nem kell manuálisan engedélyezni a DoH -t.

Ha azonban a Windows 10 Insider Preview alkalmazást használja, manuálisan kell engedélyeznie a DoH -t a következő módszerek használatával:

A Windows rendszerleíró adatbázis használata

  1. Menj Futtassa -> regedit . Ez megnyitja a Windows rendszerleíróadatbázis -szerkesztőt.
  2. Nyissa meg a következő rendszerleíró kulcsot:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
  3. Kattintson a jobb gombbal Paraméterek mappát, és válassza a lehetőséget Új-> DWORD (32 bites) Érték.
  4. Nevezd meg EnableAutoDoh .
  5. Állítsa az EnableAutoDoh bejegyzés értékét erre 2 .

A módosítások életbe léptetéséhez újra kell indítani a számítógépet.

Kérjük, vegye figyelembe, hogy ez a módosítás csak akkor lép hatályba, ha a DNS-over-HTTPS protokollt támogató DNS-kiszolgálókat használja. Az alábbiakban a DoH -t támogató nyilvános DNS -szolgáltatók listája .

A Windows 10 korábbi verziói, beleértve az 1909 -es és az 1903 -as verziót, alapértelmezés szerint nem támogatják a DoH -t.

Csoportházirend használata

Ezt a részt megtartom későbbi használatra. Jelenleg nincsenek csoportházirend-szabályok a DNS-over-HTTPS protokollra. Töltsük ki a lépéseket, amikor a Microsoft elérhetővé teszi őket a Windows 10 2004 -es verziójához.

A PowerShell használata (parancssor)

Ezt a részt megtartom későbbi használatra. Ha a Microsoft módot ad a DoH engedélyezésére vagy letiltására a parancssor használatával, akkor itt soroljuk fel a lépéseket.

A DNS-over-HTTPS engedélyezése vagy letiltása a böngészőben

Egyes alkalmazások támogatják a rendszer által konfigurált DNS-kiszolgáló megkerülését, és helyette a DNS-over-HTTPS protokollt használják. Szinte minden modern böngésző vagy már támogatja a DoH -t, vagy a közeljövőben támogatja a protokollt.

A DNS-over-HTTPS engedélyezése a Google Chrome-ban

  1. Nyissa meg a Google Chrome -ot, és lépjen a következő URL -re:
    chrome://settings/security
  2. Alatt Speciális biztonság , bekapcsolni Használjon biztonságos DNS -t .
  3. A biztonságos DNS engedélyezése után két lehetőség közül választhat:
    • A jelenlegi szolgáltatóval
    • A Google által ajánlott szolgáltatókkal

Kiválaszthatja az Önnek megfelelőt. A második lehetőség felülírja a rendszer DNS-beállításait.

A biztonságos DNS engedélyezése a Google Chrome -ban

A DoH letiltásához egyszerűen kapcsolja be a Használjon biztonságos DNS -t beállításokat ki .

A DNS-over-HTTPS engedélyezése a Mozilla Firefoxban

  1. Nyissa meg a Firefoxot, és lépjen a következő URL -re:
    about:preferences
  2. Alatt Tábornok , menj Hálózati beállítások és kattintson a Beállítások gomb. Vagy egyszerűen nyomja meg a gombot ÉS billentyűzet gomb a beállítások megnyitásához.
  3. Görgessen lefelé és jelölje be A DNS engedélyezése HTTPS protokollon keresztül .
  4. A legördülő menüből kiválaszthatja a kívánt biztonságos DNS-kiszolgálót.

A DNS-over-HTTPS engedélyezése a Microsoft Edge-ben

  1. Nyissa meg a Microsoft Edge alkalmazást, és lépjen a következő URL -re:
    edge://flags/#dns-over-https
  2. Válassza a lehetőséget Engedélyezve a melletti legördülő menüből Biztonságos DNS -keresések .
  3. Indítsa újra a böngészőt, hogy a módosítások érvénybe lépjenek.

A DNS-over-HTTPS engedélyezése az Opera böngészőben

  1. Nyissa meg az Opera böngészőt, és lépjen a Beállítások (Alt + P) elemre.
  2. Kiterjed Fejlett a bal oldali menüben.
  3. A Rendszer alatt, bekapcsolni A rendszer DNS-beállításai helyett használjon DNS-over-HTTPS protokollt .
  4. Indítsa újra a böngészőt, hogy a módosítások érvénybe lépjenek.

A biztonságos DNS-beállítások nem léptek érvénybe, amíg le nem tiltottam az Opera beépített VPN-szolgáltatását. Ha problémái vannak a DoH engedélyezésével az Operában, próbálja meg letiltani a VPN -t.

A DNS-over-HTTPS engedélyezése a Vivaldi böngészőben

  1. Nyissa meg a Vivaldi böngészőt, és lépjen a következő URL -re:
    vivaldi://flags/#dns-over-https
  2. Válassza a lehetőséget Engedélyezve a melletti legördülő menüből Biztonságos DNS -keresések .
  3. Indítsa újra a böngészőt, hogy a módosítások érvénybe lépjenek.

Hogyan engedélyezhető a DNS-over-HTTPS Android rendszeren

Az Android 9 Pie támogatja a DoH beállításokat. Kövesse az alábbi lépéseket a DoH engedélyezéséhez Android telefonján:

  1. Menj Beállítások → Hálózat és internet → Speciális → Privát DNS .
  2. Ezt az opciót beállíthatja Auto értékre, vagy megadhat egy biztonságos DNS -szolgáltatót.

Ha nem találja ezeket a beállításokat a telefonján, kövesse az alábbi lépéseket:

  1. Töltse le és nyissa meg a QuickShortcutMaker alkalmazást a Google Play Áruházból.
  2. Lépjen a Beállítások elemre, és érintse meg a gombot:
    com.android.settings.Settings$NetworkDashboardActivity

Ezzel közvetlenül a hálózati beállítások oldalra jut, ahol megtalálja a biztonságos DNS opciót.

Hogyan ellenőrizheti, hogy DNS-over-HTTPS protokollt használ-e?

Kétféleképpen ellenőrizheti, hogy a DoH megfelelően engedélyezve van -e az eszközön vagy a böngészőben.

Ezt a legegyszerűbben úgy ellenőrizheti, ha megy ezt a cloudflare böngészési élmény ellenőrző oldalt . Kattints a Ellenőrizze a Saját böngészőt gomb.

A Biztonságos DNS alatt a következő üzenetet kapja, ha DoH -t használ: | _+_ |

Ha nem használja a DoH -t, akkor a következő üzenetet fogja kapni: | _+_ |

A Windows 10 2004-es verziója lehetővé teszi az 53-as port csomagjainak valós idejű figyelését is. Ez megmondja nekünk, hogy a rendszer DNS-over-HTTPS protokollt vagy a korábbi Do53-at használja.

  1. Nyissa meg a PowerShell -t rendszergazdai jogosultságokkal.
  2. Futtassa a következő parancsokat:
    pktmon filter remove
    Ezzel eltávolítja az összes aktív szűrőt, ha van ilyen.
    pktmon filter add -p 53
    Ez hozzáadja az 53 -as portot figyelni és naplózni.
    pktmon start --etw -m real-time
    Ez az 53-as port valós idejű megfigyelésével kezdődik.

Ha azt látja, hogy nagy forgalom jelenik meg a listában, ez azt jelenti, hogy a DoH3 -at használja a DoH3 helyett.

Kérjük, vegye figyelembe, hogy a fent említett parancsok csak a Windows 10 2004-es verziójában működnek. Ellenkező esetben hibaüzenet jelenik meg: Ismeretlen paraméter „valós idejű”

A DoH -t támogató névszerverek listája

Itt található a DNS-over-HTTPS protokollt támogató DNS-szolgáltatók listája.

Szolgáltató Gazdanév IP-cím
AdGuarddns.adguard.com176,103,130,132
176,103,130,134
AdGuarddns-family.adguard.com176,103,130,132
176,103,130,134
CleanBrowsingfamily-filter-dns.cleanbrowsing.org185,228,168,168
185,228,169,168
CleanBrowsingadult-filter-dns.cleanbrowsing.org185.228.168.10
185.228.169.11
Cloudflareegy.egyik.egyik
1dot1dot1dot1.cloudflare-dns.com
1.1.1.1
1.0.0.1
Cloudflaresecurity.cloudflare-dns.com1.1.1.2
1.0.0.2
Cloudflarefamily.cloudflare-dns.com1.1.1.3
1.0.0.3
Googledns.google
google-public-dns-a.google.com
google-public-dns-b.google.com
8.8.8.8
8.8.4.4
NextDNSdns.nextdns.io45.90.28.0
45.90.30.0
OpenDNSdns.opendns.com208.67.222.222
208.67.220.220
OpenDNSfamilyshield.opendns.com208.67.222.123
208.67.220.123
OpenDNSsandbox.opendns.com208.67.222.2
208.67.220.2
Quad9dns.quad9.net
rpz-public-resolver1.rrdns.pch.net
9.9.9.9
149,112,112,112

Bár a DNS-over-HTTPS biztonságosabbá teszi a webet, és egységesen kell végrehajtani az interneten (például a HTTPS esetében), ez a protokoll rémálmokat fog adni a rendszergazdáknak.

A rendszergazdáknak meg kell találniuk a módszereket a nyilvános DNS-szolgáltatások letiltására, miközben lehetővé teszik saját DNS-kiszolgálóik számára a DoH használatát. Ezt meg kell tenni annak érdekében, hogy a jelenlegi felügyeleti berendezések és korlátozási irányelvek aktívak maradjanak az egész szervezetben.

Ha valamit kihagytam a cikkből, kérjük, jelezze az alábbi megjegyzésekben. Ha tetszett a cikk, és valami újat tanult, ossza meg barátaival és a közösségi médiában, és iratkozzon fel hírlevelünkre.