Как использовать Encrypted DNS (DoH/DoT) для защиты запросов к интернету - PEFile

Encrypted DNS нужен для простой, но полезной вещи: чтобы ваши DNS-запросы не летали по сети открытым текстом. Когда вы вводите example.com, устройство сначала спрашивает DNS-сервер: «Какой IP-адрес у этого домена?». Без шифрования этот вопрос могут видеть провайдер, администратор сети, владелец публичного Wi-Fi или тот, кто стоит между вами и интернетом.

DoH и DoT решают именно эту задачу. Они не превращают устройство в неприступную крепость и не заменяют VPN, но закрывают конкретную дырку: подсмотреть или подменить DNS-запросы становится заметно сложнее.

Главное ограничение: Encrypted DNS шифрует только DNS-запросы. Он не скрывает сайты, которые вы посещаете, от VPN-провайдера или провайдера интернета, не защищает от вирусов на устройстве и не делает обычным HTTP безопасным.

Содержание

Что именно защищает DoH/DoT
DoH и DoT: в чём разница
Где включать Encrypted DNS
Как выбрать провайдера Encrypted DNS
Как включить DoH в браузере
Как включить DoT или DoH на устройстве
Android
iPhone, iPad и macOS
Windows
Linux
Роутер
Как проверить, что Encrypted DNS работает
Что выбрать в зависимости от ситуации
Частые ошибки при настройке DoH/DoT

Что именно защищает DoH/DoT

Обычный DNS работает примерно так: устройство отправляет запрос на DNS-сервер, сервер отвечает IP-адресом, после этого браузер подключается к сайту. Если DNS не зашифрован, по пути можно увидеть, какие домены вы запрашиваете: bank.example, shop.example, video.example.

Encrypted DNS не шифрует весь трафик сайта. Контент HTTPS-сайтов и так защищён TLS. Но DNS до подключения к сайту остаётся отдельным каналом, и его часто не замечают. DoH и DoT как раз заворачивают этот канал в шифрование.

На практике это даёт три вещи:

провайдер или владелец Wi-Fi видит меньше информации о ваших DNS-запросах;
сложнее незаметно подменить ответ DNS-сервера;
можно использовать резолвер с нужной политикой: без логирования, с блокировкой вредоносных доменов, с семейным фильтром или с корпоративными правилами.

DoH и DoT: в чём разница

DoH — это DNS over HTTPS. DoT — DNS over TLS. Оба варианта шифруют DNS, но делают это по-разному. Разница важна, когда вы настраиваете браузер, роутер, телефон или корпоративную сеть.

Вариант	Как работает	Плюсы	Минусы и риски
Обычный DNS	Запросы идут на порт 53 без шифрования.	Максимальная совместимость, легко настраивается.	Запросы видны в сети, возможны подмены ответа, проще собрать историю посещений по доменам.
DoT	DNS идёт через TLS-соединение, обычно на порт 853.	Проще контролировать на уровне сети, хорошо подходит для роутеров и системных настроек.	Сеть может заблокировать порт 853, в некоторых публичных сетях DoT не работает.
DoH	DNS передаётся как HTTPS-запрос, обычно через порт 443.	Хорошо работает там, где открыт обычный HTTPS; удобно включать в браузере.	Сложнее отличить от обычного веб-трафика, поэтому в корпоративных сетях может конфликтовать с политиками безопасности.

Если коротко: для личного браузера часто удобнее DoH, для роутера или всей домашней сети — DoT или DoH, если роутер их поддерживает. Для рабочей сети лучше не включать случайный публичный Encrypted DNS без согласования с администратором.

Где включать Encrypted DNS

Есть три уровня настройки. От выбранного уровня зависит, что именно вы защитите.

Уровень	Что защищает	Когда использовать	Что помнить
Браузер	Только DNS-запросы из этого браузера.	Нужно быстро закрыть запросы в Chrome, Firefox, Edge или Brave.	Приложения, мессенджеры, игры и другие браузеры останутся со старыми настройками.
Устройство	Большинство системных запросов телефона, ноутбука или компьютера.	Хотите настроить Android, Windows, macOS или Linux целиком.	Некоторые приложения могут использовать свой DNS и обходить системные настройки.
Роутер	Все устройства в домашней сети, если они получают DNS от роутера.	Нужно закрыть телевизор, телефон, ноутбук, умные устройства и гостевые гаджеты.	Если роутер не поддерживает DoH/DoT, понадобится прошивка, отдельный DNS-резолвер или другое оборудование.

Как выбрать провайдера Encrypted DNS

Провайдер DNS — это не просто техническая точка. Он видит, какие домены вы запрашиваете. Поэтому выбирать нужно не только по скорости, но и по доверию.

Политика логирования. Смотрите, хранит ли провайдер DNS-запросы, как долго и при каких условиях передаёт данные третьим сторонам.
Поддержка DNSSEC. DNSSEC не шифрует запросы, но помогает проверять подлинность DNS-ответов. Хороший резолвер обычно её поддерживает.
Фильтрация. Некоторые сервисы блокируют вредоносные домены, рекламу или контент для взрослых. Это удобно, но иногда даёт ложные срабатывания.
Юрисдикция и прозрачность. Если приватность важна, проверьте, кто управляет сервисом и публикует ли он отчёты о запросах от органов или партнёров.
Совместимость. Убедитесь, что выбранный провайдер поддерживает именно тот вариант, который вы хотите включить: DoH, DoT или оба.
Стабильность. Для дома и работы нужен сервис, который не пропадает после каждого обновления роутера или смены сети.

Не стоит выбирать первый попавшийся DNS только потому, что он «быстрый». Быстрый резолвер может быть удобнее, но если он пишет подробные логи, вы просто переносите доверие от провайдера интернета к другому участнику сети.

Как включить DoH в браузере

Это самый простой способ начать. Он подойдёт, если вы хотите защитить запросы именно в браузере на ноутбуке или компьютере.

Откройте настройки браузера.
Найдите раздел с безопасностью, приватностью или сетевыми настройками.
Включите пункт вроде «Secure DNS», «DNS over HTTPS» или «Использовать безопасный DNS».
Выберите готового провайдера из списка или укажите свой DoH-шаблон вручную.
Сохраните настройки и перезапустите браузер.

В Firefox настройка обычно находится в разделе приватности и безопасности. Там можно выбрать встроенного провайдера или указать свой адрес. В Chrome, Edge и Brave похожий пункт чаще всего называется Use secure DNS.

Если выбираете вручную, вам нужен DoH-адрес, а не обычный IP-адрес DNS. Например, публичные DoH-шаблоны могут выглядеть так:

https://cloudflare-dns.com/dns-query
https://dns.google/dns-query
https://dns.quad9.net/dns-query

У некоторых сервисов адрес персональный, особенно если вы используете фильтрацию, семейные правила или блокировку рекламы через DNS. Тогда шаблон лучше брать из личного кабинета выбранного сервиса.

Если в браузере есть режимы вроде Max, Strict или Encrypted only, используйте их после проверки. Они запрещают браузеру откатываться на обычный DNS, если DoH не сработал. До проверки удобнее оставить автоматический режим: если что-то пошло не так, сайты хотя бы продолжат открываться.

Как включить DoT или DoH на устройстве

Android

На Android чаще всего используют DoT через функцию «Частный DNS». Она появилась в современных версиях системы и настраивается проще, чем кажется.

Откройте настройки Android.
Перейдите в раздел сети или подключения.
Найдите пункт «Частный DNS».
Выберите режим с именем хоста провайдера.
Введите не URL и не IP-адрес, а именно доменное имя резолвера.

Например, для распространённых сервисов часто используют такие имена хостов:

dns.google
one.one.one.one
security.cloudflare-dns.com
dns.quad9.net

Самая частая ошибка на Android — вставить адрес вида https://dns.google/dns-query или 8.8.8.8. Для «Частного DNS» нужен именно хост, например dns.google.

iPhone, iPad и macOS

На iOS и iPadOS проще всего использовать профиль конфигурации от доверенного провайдера или официальное приложение, если оно есть. Профиль добавляет Encrypted DNS в систему, после чего его можно проверить в настройках сети.

Не устанавливайте случайные DNS-профили из непроверенных источников. Профиль имеет доступ к маршрутизации DNS-запросов, поэтому доверие здесь не менее важно, чем удобство.

На macOS тоже удобнее работать через профиль или приложение от выбранного сервиса. Вручную настраивать DoT/DoH можно, но интерфейс и доступные пункты зависят от версии системы.

Windows

В Windows 11 есть встроенная поддержка DNS over HTTPS для сетевых адаптеров. Путь обычно такой:

Откройте параметры сети.
Выберите Wi-Fi или Ethernet.
Перейдите к свойствам подключения.
Найдите назначение DNS-сервера и выберите ручную настройку.
Укажите DNS-адреса и включите DNS over HTTPS.
Если есть режим «Encrypted only» или аналогичный, включайте его после проверки.

Если нужного пункта нет, можно использовать приложение от DNS-провайдера, PowerShell-настройку или локальный резолвер. Для рабочих ноутбуков лучше не менять настройки в обход политики организации.

Linux

На Linux выбор зависит от дистрибутива и сетевого менеджера. Для DoT часто используют systemd-resolved или stubby. Для DoH обычно ставят локальный резолвер, например cloudflared или dnscrypt-proxy, а затем направляют систему на локальный адрес вроде 127.0.0.1.

Такой подход удобен: система думает, что работает с обычным DNS, а локальная программа уже сама общается с внешним Encrypted DNS.

Роутер

Если роутер поддерживает DoH или DoT, это часто лучший вариант для дома. Вы один раз настраиваете сеть, и устройства получают уже защищённые DNS-запросы.

Проверьте три момента:

роутер действительно отправляет DNS через DoH/DoT, а не просто использует публичный DNS;
DHCP раздаёт устройствам DNS-адрес роутера;
есть возможность отключить fallback на обычный DNS, если нужна строгая защита.

Если штатная прошивка не поддерживает Encrypted DNS, варианты такие: поставить альтернативную прошивку, если она доступна для вашей модели, или поднять отдельный DNS-резолвер на мини-ПК, Raspberry Pi или другом маленьком устройстве.

Как проверить, что Encrypted DNS работает

После настройки не стоит верить настройкам на слово. Проверка занимает несколько минут.

Откройте страницу проверки выбранного DNS-провайдера. Многие сервисы показывают, используете ли вы DoH/DoT и какой резолвер виден снаружи.
Проверьте настройки браузера или системы ещё раз: иногда после перезапуска всё возвращается к старому DNS.
Если есть доступ к логам роутера, посмотрите, куда уходят DNS-запросы.
Для точной проверки можно использовать сниффер трафика. При DoT вы увидите TLS-соединение на порт 853, при DoH — HTTPS-соединение на порт 443 к DNS-провайдеру.
Не ориентируйтесь только на nslookup или ipconfig. Эти команды могут показывать системный DNS, но не всегда отражают DoH внутри браузера.

Если после включения Encrypted DNS часть сайтов перестала открываться, сначала проверьте, не включён ли строгий режим без fallback. Потом убедитесь, что адрес провайдера указан правильно. На Android особенно часто путают URL, IP и имя хоста.

Что выбрать в зависимости от ситуации

Ситуация	Лучшее решение	Почему
Нужно быстро защитить браузер на ноутбуке	Включить DoH в браузере.	Быстро, не требует прав администратора, подходит для большинства пользователей.
Хотите защитить телефон в мобильных и публичных сетях	На Android — «Частный DNS»; на iOS — профиль или приложение от доверенного провайдера.	Системная настройка покрывает больше приложений, чем один браузер.
Нужно закрыть всю домашнюю сеть	Настроить DoH/DoT на роутере или отдельном DNS-резолвере.	Так работают телевизоры, телефоны, ноутбуки и устройства без собственных настроек DNS.
Рабочий ноутбук или корпоративная сеть	Использовать только разрешённый корпоративный DNS.	Публичный DoH может обойти политики безопасности, маскировать угрозы и нарушать правила компании.
Нужна блокировка вредоносных доменов	Выбрать резолвер с защитой от malware и включить её на уровне устройства или роутера.	Часть опасных доменов будет отсеиваться до подключения.
Нужен родительский контроль	Использовать DNS с фильтрацией, но не считать его полной защитой.	DNS-фильтр помогает, но обходится через VPN, встроенный DNS приложений или прямой IP-адрес.
Нужна максимальная приватность в дороге	Encrypted DNS плюс VPN от доверенного провайдера.	DNS закроет запросы доменов, VPN добавит защиту для остального трафика и скроет IP от сайтов.

Частые ошибки при настройке DoH/DoT

Включили DoH только в браузере и решили, что защищено всё устройство. На самом деле остальные приложения могут продолжать использовать обычный DNS.
Оставили fallback на обычный DNS. Если Encrypted DNS не сработал, устройство может незаметно вернуться к открытым запросам.
В Android вставили URL вместо имени хоста. В «Частном DNS» нужен адрес вроде dns.google, а не https://dns.google/dns-query</code