Когда вы вводите адрес сайта в браузере, ваш компьютер сначала спрашивает у DNS-сервера: «Какой IP у этого домена?» Проблема в том, что по умолчанию этот запрос отправляется в открытом виде. Ваш интернет-провайдер, администратор сети или кто-то ещё в том же Wi-Fi может посмотреть, на какие сайты вы заходите — даже если сам сайт использует HTTPS.
Звучит абстрактно? Пример: вы открыли сайт с информацией о кредитах. Содержимое страницы зашифровано, но провайдер видит сам факт обращения к этому домену. Используете ли вы сервис знакомств — он это тоже увидит. Не самый приятный сценарий, особенно если вы не хотите, чтобы ваши цифровые следы собирались и продавались.
Именно для этого существуют зашифрованные DNS-протоколы — DNS over HTTPS (DoH) и DNS over TLS (DoT). Они прячут ваши DNS-запросы так же, как HTTPS прячет содержимое страниц. Давайте разберёмся, как это работает и как включить — без теории, которая вам не нужна.
- Что такое DoH и DoT простыми словами
- Сравниваем DoH и DoT: что выбрать
- Как включить зашифрованный DNS: пошагово
- Вариант 1: Через настройки операционной системы (рекомендую)
- Вариант 2: Через браузер (если не хотите трогать систему)
- Какие DNS-серверы выбрать
- Частые ошибки при настройке
- Что делать, если провайдер блокирует зашифрованный DNS
- Как проверить, что всё работает
- Что в итоге и что делать дальше
Что такое DoH и DoT простыми словами
DNS — это телефонная книга интернета. Вы вводите example.com, а DNS-сервер превращает это в IP-адрес, который понимает компьютер. Обычно этот запрос летит в открытом виде по порту 53 — любой в сети может его перехватить.
DoT (DNS over TLS) шифрует DNS-запросы через протокол TLS на отдельном порту 853. Это как если бы ваш телефонный звонок шёл по защищённому каналу — слышать вас может только собеседник.
DoH (DNS over HTTPS) идёт дальше и прячет DNS-запросы внутрь обычного HTTPS-трафика через порт 443. Для внешнего наблюдателя это выглядит как обычное посещение защищённого сайта — не отличить.
Оба протокола решают одну задачу: скрыть, какие домены вы резолвите. Разница — в деталях реализации и в том, насколько удобно их включить в вашем случае.
Сравниваем DoH и DoT: что выбрать
Если вы не хотите заморачиваться — используйте DoT на уровне системы. Он проще в настройке и не зависит от браузера. Если вам нужна максимальная незаметность в сети провайдера — DoH предпочтительнее, потому что его трафик сливается с обычным HTTPS.
| Параметр | DoT (DNS over TLS) | DoH (DNS over HTTPS) |
|---|---|---|
| Порт | 853 | 443 |
| Как выглядит для провайдера | Отдельный зашифрованный канал | Обычный HTTPS-трафик |
| Настройка | Системная или через приложение | Часто в браузере или системная |
| Обход блокировок | Легко заблокировать по порту | Сложнее заблокировать |
| Подходит для | Системной защиты по умолчанию | Максимальной приватности в браузере |
| Поддержка ОС | Android 9+, iOS 14+, Windows 11, Linux | Все современные браузеры, ОС |
Как включить зашифрованный DNS: пошагово
Вариант 1: Через настройки операционной системы (рекомендую)
Это лучший вариант, потому что защита работает для всех приложений, а не только для браузера.
Android (9 и новее):
- Откройте «Настройки» → «Сеть и интернет» → «Частный DNS-сервер».
- Выберите «Имя хоста провайдера частного DNS».
- Введите адрес нужного сервера (например,
dns.googleдля Google Public DNS илиone.one.one.oneдля Cloudflare). - Нажмите «Сохранить».
iOS / iPadOS (14 и новее):
- Скачайте приложение Cloudflare 1.1.1.1 из App Store (или аналогичное, например, NextDNS).
- Откройте приложение и включите переключатель DNS.
- Либо: «Настройки» → «Wi-Fi» → нажмите ⓘ рядом с сетью → «Настроить DNS» → «Вручную» → добавьте нужные серверы (но это не зашифрует запросы — только сменит провайдера).
Windows 11:
- «Параметры» → «Сеть и Интернет» → «Wi-Fi» (или «Ethernet») → «Свойства».
- Найдите «Назначение DNS-сервера» и нажмите «Изменить».
- Включите DoH, выберите предпочитаемый и альтернативный DNS-over-HTTPS сервер.
Linux (systemd-resolved):
- Откройте
/etc/systemd/resolved.conf. - Добавьте строку:
DNS=1.1.1.1#cloudflare-dns.com 8.8.8.8#dns.google. - Перезапустите службу:
sudo systemctl restart systemd-resolved.
Вариант 2: Через браузер (если не хотите трогать систему)
Firefox:
- Настройки → «Приватность и защита» → прокрутите до «DNS over HTTPS».
- Выберите уровень защиты: «По умолчанию», «Повышенная» или «Максимальная».
- При желании укажите конкретный провайдер (Cloudflare, NextDNS, Google).
Chrome:
- Настройки → «Безопасность и конфиденциальность» → «Безопасность».
- Включите «Использовать безопасный DNS».
- Выберите провайдера или укажите свой.
Минус этого способа: защита работает только в браузере. Приложения, обновления ОС, мессенджеры — всё это будет резолвить DNS в открытом виде.
Какие DNS-серверы выбрать
Не все DNS-провайдеры одинаково относятся к вашим данным. Вот проверенные варианты с поддержкой зашифрованных протоколов:
- Cloudflare (1.1.1.1) — быстрый, не логирует IP-адреса пользователей, продаёт публичный резолвер. Хост для DoH:
cloudflare-dns.com. - Google Public DNS (8.8.8.8) — надёжный, но логирует некоторые данные. Хост:
dns.google. - Quad9 (9.9.9.9) — блокирует вредоносные домены, не ведёт логов с IP. Хост:
dns.quad9.net. - NextDNS — позволяет настроить фильтрацию рекламы и трекеров, вести свою аналитику. Бесплатный тариф — 300 000 запросов в месяц.
Если вам важна именно приватность — выбирайте Cloudflare или Quad9. Если хотите дополнительную фильтрацию мусора — NextDNS.
Частые ошибки при настройке
Ошибка 1: Сменили DNS, но забыли про шифрование. Если вы просто поменяли DNS-сервер в настройках роутера на 8.8.8.8, ваши запросы всё ещё летят в открытом виде. Нужно именно включить DoH или DoT.
Ошибка 2: Используете DNS без шифрования на публичном Wi-Fi. В кафе, аэропортах, отелях — это открытая книга для администратора сети. Включайте зашифрованный DNS обязательно.
Ошибка 3: Не проверили, что защита реально работает. После настройки зайдите на сайт вроде
1.1.1.1/helpилиdnsleaktest.comи убедитесь, что используется именно зашифрованный DNS.
Ошибка 4: Настроили только в браузере, но не в системе. Приложения, почтовые клиенты, обновления — всё это ходит по обычному DNS. Лучше настраивать на уровне ОС или роутера.
Что делать, если провайдер блокирует зашифрованный DNS
Некоторые провайдеры (особенно в странах с интернет-цензурой) блокируют порты 853 и 443 к сторонним DNS-серверам. В этом случае попробуйте:
- Использовать DoH через браузер — он идёт по тому же порту, что и обычный веб-трафик, и его сложнее заблокировать.
- Настроить зашифрованный DNS на роутере — тогда все устройства в сети будут его использовать.
- Подключиться к VPN — тогда весь трафик, включая DNS, будет зашифрован на уровне туннеля.
Как проверить, что всё работает
- Откройте 1.1.1.1/help — покажет, используется ли DoH.
- Зайдите на dnsleaktest.com и запустите расширенный тест — он покажет, к каким DNS-серверам обращаются ваши запросы.
- Если в результатах вы видите только тот сервер, который настроили (например, Cloudflare или Google) — всё работает правильно.
- Если там фигурирует ваш провайдер — где-то настройка не применилась.
Что в итоге и что делать дальше
Запомните главное:
- Обычный DNS — открытый канал. Ваш провайдер видит все домены, которые вы открываете.
- DoT и DoH шифруют эти запросы — провайдер видит только факт подключения к одному серверу, но не знает, какие сайты вы посещаете.
- Лучший вариант — настроить зашифрованный DNS на уровне операционной системы или роутера, а не только в браузере.
- После настройки обязательно проверьте, что защита реально работает через тестовые сайты.
Начните с малого: зайдите в настройки телефона или браузера и включите зашифрованный DNS прямо сейчас. Это займёт пару минут, а ваши DNS-запросы перестанут быть открытой книгой для всех желающих.
