Как использовать зашифрованный DNS (DoH/DoT), чтобы ваш провайдер не видел, какие сайты вы открываете

Когда вы вводите адрес сайта в браузере, ваш компьютер сначала спрашивает у DNS-сервера: «Какой IP у этого домена?» Проблема в том, что по умолчанию этот запрос отправляется в открытом виде. Ваш интернет-провайдер, администратор сети или кто-то ещё в том же Wi-Fi может посмотреть, на какие сайты вы заходите — даже если сам сайт использует HTTPS.

Звучит абстрактно? Пример: вы открыли сайт с информацией о кредитах. Содержимое страницы зашифровано, но провайдер видит сам факт обращения к этому домену. Используете ли вы сервис знакомств — он это тоже увидит. Не самый приятный сценарий, особенно если вы не хотите, чтобы ваши цифровые следы собирались и продавались.

Именно для этого существуют зашифрованные DNS-протоколы — DNS over HTTPS (DoH) и DNS over TLS (DoT). Они прячут ваши DNS-запросы так же, как HTTPS прячет содержимое страниц. Давайте разберёмся, как это работает и как включить — без теории, которая вам не нужна.

Что такое DoH и DoT простыми словами

DNS — это телефонная книга интернета. Вы вводите example.com, а DNS-сервер превращает это в IP-адрес, который понимает компьютер. Обычно этот запрос летит в открытом виде по порту 53 — любой в сети может его перехватить.

DoT (DNS over TLS) шифрует DNS-запросы через протокол TLS на отдельном порту 853. Это как если бы ваш телефонный звонок шёл по защищённому каналу — слышать вас может только собеседник.

DoH (DNS over HTTPS) идёт дальше и прячет DNS-запросы внутрь обычного HTTPS-трафика через порт 443. Для внешнего наблюдателя это выглядит как обычное посещение защищённого сайта — не отличить.

Оба протокола решают одну задачу: скрыть, какие домены вы резолвите. Разница — в деталях реализации и в том, насколько удобно их включить в вашем случае.

Сравниваем DoH и DoT: что выбрать

Если вы не хотите заморачиваться — используйте DoT на уровне системы. Он проще в настройке и не зависит от браузера. Если вам нужна максимальная незаметность в сети провайдера — DoH предпочтительнее, потому что его трафик сливается с обычным HTTPS.

Параметр DoT (DNS over TLS) DoH (DNS over HTTPS)
Порт 853 443
Как выглядит для провайдера Отдельный зашифрованный канал Обычный HTTPS-трафик
Настройка Системная или через приложение Часто в браузере или системная
Обход блокировок Легко заблокировать по порту Сложнее заблокировать
Подходит для Системной защиты по умолчанию Максимальной приватности в браузере
Поддержка ОС Android 9+, iOS 14+, Windows 11, Linux Все современные браузеры, ОС

Как включить зашифрованный DNS: пошагово

Вариант 1: Через настройки операционной системы (рекомендую)

Это лучший вариант, потому что защита работает для всех приложений, а не только для браузера.

Android (9 и новее):

  1. Откройте «Настройки» → «Сеть и интернет» → «Частный DNS-сервер».
  2. Выберите «Имя хоста провайдера частного DNS».
  3. Введите адрес нужного сервера (например, dns.google для Google Public DNS или one.one.one.one для Cloudflare).
  4. Нажмите «Сохранить».

iOS / iPadOS (14 и новее):

  1. Скачайте приложение Cloudflare 1.1.1.1 из App Store (или аналогичное, например, NextDNS).
  2. Откройте приложение и включите переключатель DNS.
  3. Либо: «Настройки» → «Wi-Fi» → нажмите ⓘ рядом с сетью → «Настроить DNS» → «Вручную» → добавьте нужные серверы (но это не зашифрует запросы — только сменит провайдера).

Windows 11:

  1. «Параметры» → «Сеть и Интернет» → «Wi-Fi» (или «Ethernet») → «Свойства».
  2. Найдите «Назначение DNS-сервера» и нажмите «Изменить».
  3. Включите DoH, выберите предпочитаемый и альтернативный DNS-over-HTTPS сервер.

Linux (systemd-resolved):

  1. Откройте /etc/systemd/resolved.conf.
  2. Добавьте строку: DNS=1.1.1.1#cloudflare-dns.com 8.8.8.8#dns.google.
  3. Перезапустите службу: sudo systemctl restart systemd-resolved.

Вариант 2: Через браузер (если не хотите трогать систему)

Firefox:

  1. Настройки → «Приватность и защита» → прокрутите до «DNS over HTTPS».
  2. Выберите уровень защиты: «По умолчанию», «Повышенная» или «Максимальная».
  3. При желании укажите конкретный провайдер (Cloudflare, NextDNS, Google).

Chrome:

  1. Настройки → «Безопасность и конфиденциальность» → «Безопасность».
  2. Включите «Использовать безопасный DNS».
  3. Выберите провайдера или укажите свой.

Минус этого способа: защита работает только в браузере. Приложения, обновления ОС, мессенджеры — всё это будет резолвить DNS в открытом виде.

Какие DNS-серверы выбрать

Не все DNS-провайдеры одинаково относятся к вашим данным. Вот проверенные варианты с поддержкой зашифрованных протоколов:

  • Cloudflare (1.1.1.1) — быстрый, не логирует IP-адреса пользователей, продаёт публичный резолвер. Хост для DoH: cloudflare-dns.com.
  • Google Public DNS (8.8.8.8) — надёжный, но логирует некоторые данные. Хост: dns.google.
  • Quad9 (9.9.9.9) — блокирует вредоносные домены, не ведёт логов с IP. Хост: dns.quad9.net.
  • NextDNS — позволяет настроить фильтрацию рекламы и трекеров, вести свою аналитику. Бесплатный тариф — 300 000 запросов в месяц.

Если вам важна именно приватность — выбирайте Cloudflare или Quad9. Если хотите дополнительную фильтрацию мусора — NextDNS.

Частые ошибки при настройке

Ошибка 1: Сменили DNS, но забыли про шифрование. Если вы просто поменяли DNS-сервер в настройках роутера на 8.8.8.8, ваши запросы всё ещё летят в открытом виде. Нужно именно включить DoH или DoT.

Ошибка 2: Используете DNS без шифрования на публичном Wi-Fi. В кафе, аэропортах, отелях — это открытая книга для администратора сети. Включайте зашифрованный DNS обязательно.

Ошибка 3: Не проверили, что защита реально работает. После настройки зайдите на сайт вроде 1.1.1.1/help или dnsleaktest.com и убедитесь, что используется именно зашифрованный DNS.

Ошибка 4: Настроили только в браузере, но не в системе. Приложения, почтовые клиенты, обновления — всё это ходит по обычному DNS. Лучше настраивать на уровне ОС или роутера.

Что делать, если провайдер блокирует зашифрованный DNS

Некоторые провайдеры (особенно в странах с интернет-цензурой) блокируют порты 853 и 443 к сторонним DNS-серверам. В этом случае попробуйте:

  • Использовать DoH через браузер — он идёт по тому же порту, что и обычный веб-трафик, и его сложнее заблокировать.
  • Настроить зашифрованный DNS на роутере — тогда все устройства в сети будут его использовать.
  • Подключиться к VPN — тогда весь трафик, включая DNS, будет зашифрован на уровне туннеля.

Как проверить, что всё работает

  1. Откройте 1.1.1.1/help — покажет, используется ли DoH.
  2. Зайдите на dnsleaktest.com и запустите расширенный тест — он покажет, к каким DNS-серверам обращаются ваши запросы.
  3. Если в результатах вы видите только тот сервер, который настроили (например, Cloudflare или Google) — всё работает правильно.
  4. Если там фигурирует ваш провайдер — где-то настройка не применилась.

Что в итоге и что делать дальше

Запомните главное:

  • Обычный DNS — открытый канал. Ваш провайдер видит все домены, которые вы открываете.
  • DoT и DoH шифруют эти запросы — провайдер видит только факт подключения к одному серверу, но не знает, какие сайты вы посещаете.
  • Лучший вариант — настроить зашифрованный DNS на уровне операционной системы или роутера, а не только в браузере.
  • После настройки обязательно проверьте, что защита реально работает через тестовые сайты.

Начните с малого: зайдите в настройки телефона или браузера и включите зашифрованный DNS прямо сейчас. Это займёт пару минут, а ваши DNS-запросы перестанут быть открытой книгой для всех желающих.

Оцените статью
PEFile — Безопасность и технологии простым языком