Co je DNS-Over-HTTPS a jak jej povolit na vašem zařízení (nebo prohlížeči)

• Kategorie: Průvodci

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Vyberte Operační Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekce (Volitelně) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popište Svůj Problém

Získejte Odpověď

Pošlete Mi E -Mailem Zobrazit Na Webu

DNS-over-HTTPS (Secure DNS) je nová technologie, která si klade za cíl zajistit bezpečné procházení webu šifrováním komunikace mezi klientským počítačem a serverem DNS.

Tento nový internetový standard je široce přijímán. Seznam adopcí obsahuje Windows 10 (verze 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera a Vivaldi.

V tomto článku budeme diskutovat o výhodách a nevýhodách DNS-over-HTTPS a o tom, jak povolit tento protokol ve vašich zařízeních.

Také budeme diskutovat o tom, jak otestovat, zda je DoH pro vaše zařízení povoleno nebo ne.

Pojďme začít. Rychlý souhrn skrýt 1 Jednoduché vysvětlení DNS-over-HTTPS a jeho fungování 2 Výhody a nevýhody DNS-over-HTTPS 2.1 DoH neumožňuje úplné soukromí uživatele 2.2 DoH se nevztahuje na dotazy HTTP 2.3 Ne všechny servery DNS podporují DoH 2.4 DoH bude pro podniky bolest hlavy 3 Zpomaluje používání DNS přes HTTPS procházení? 4 Jak povolit nebo zakázat DNS-over-HTTPS v systému Windows 10 4.1 Použití registru Windows 4.2 Použití zásad skupiny 4.3 Použití prostředí PowerShell (příkazový řádek) 5 Jak povolit nebo zakázat DNS-over-HTTPS ve vašich prohlížečích 5.1 Povolte v prohlížeči Google Chrome DNS-over-HTTPS 5.2 Povolte DNS-over-HTTPS v Mozilla Firefox 5.3 Povolte DNS-over-HTTPS v Microsoft Edge 5.4 V prohlížeči Opera povolte DNS-over-HTTPS 5.5 Povolte DNS-over-HTTPS v prohlížeči Vivaldi 6 Jak povolit DNS-over-HTTPS v systému Android 7 Jak zkontrolujete, zda používáte DNS-over-HTTPS? 8 Seznam názvových serverů, které podporují DoH

Jednoduché vysvětlení DNS-over-HTTPS a jeho fungování

DNS-over-HTTPS (DoH) je protokol pro šifrování dotazů DNS mezi vaším počítačem a serverem DNS. Poprvé byl představen v říjnu 2018 ( IETF RFC 8484 ) s cílem zvýšit bezpečnost a soukromí uživatelů.

Tradiční servery DNS využívají ke komunikaci port DNS 53, zatímco DNS-over-HTTPS využívá k bezpečné komunikaci s klientem port 443 HTTPS.

Pamatujte, že ačkoli je DoH protokol zabezpečení, nebrání poskytovatelům internetových služeb ve sledování vašich požadavků. Jednoduše zašifruje data dotazů DNS mezi vaším počítačem a poskytovatelem internetových služeb, aby se předešlo problémům, jako je podvržení, útok typu man-in-the-middle atd.

Pojďme to pochopit na jednoduchém příkladu.

DNS funguje takto:

1. Pokud chcete otevřít název domény itechtics.com a požádat o něj pomocí svého prohlížeče.
2. Váš prohlížeč odešle požadavek na server DNS nakonfigurovaný ve vašem systému, např. 1.1.1.1.
3. Rekurzivní překladač DNS (1.1.1.1) přejde na kořenové servery domény nejvyšší úrovně (TLD) (v našem případě .com) a požádá o jmenné servery itechtics.com.
4. Poté server DNS (1.1.1.1) přejde na jmenné servery itechtics.com a požádá o IP adresu názvu DNS itechtics.com.
5. Server DNS (1.1.1.1) přenáší tyto informace do prohlížeče a prohlížeč se připojí k itechtics.com a dostane odpověď od serveru.

Celá tato komunikace z vašeho počítače na server DNS na servery TLD DNS na jmenné servery na webové stránky a zpět probíhá ve formě jednoduchých textových zpráv.

To znamená, že kdokoli může sledovat váš webový provoz a snadno vědět, jaké webové stránky otevíráte.

DNS-over-HTTPS šifruje veškerou komunikaci mezi vaším počítačem a serverem DNS, čímž je bezpečnější a méně náchylný k útokům typu man-in-the-middle a dalším falešným útokům.

Pojďme to pochopit pomocí vizuálního příkladu:

Když klient DNS odesílá dotazy DNS na server DNS bez použití DoH:

DNS přes HTTPS není povoleno

Když klient DoH používá protokol DoH k odesílání provozu DNS na server DNS s povoleným DoH:

DNS přes HTTPS povoleno

Zde vidíte, že provoz DNS z klienta na server je šifrován a nikdo neví, co klient požadoval. Odpověď DNS ze serveru je také šifrována.

Výhody a nevýhody DNS-over-HTTPS

Přestože DNS-over-HTTPS pomalu nahradí starší systém DNS, má své vlastní výhody a potenciální problémy. Pojďme diskutovat o některých z nich zde.

DoH neumožňuje úplné soukromí uživatele

DoH je nabízena jako další velká věc v oblasti soukromí a zabezpečení uživatelů, ale podle mého názoru je zaměřena pouze na zabezpečení uživatelů, nikoli na soukromí.

Pokud víte, jak tento protokol funguje, budete vědět, že DoH nebrání poskytovatelům internetových služeb ve sledování požadavků uživatelů DNS.

I když vás ISP nemůže sledovat pomocí DNS, protože používáte jiného veřejného poskytovatele DNS, existuje mnoho datových bodů, které jsou ISP stále otevřené pro sledování. Například, Pole Název serveru (SNI) a Připojení OCSP (Online Certificate Status Protocol) atd.

Pokud chcete více soukromí, měli byste se podívat na další technologie, jako je DNS-over-TLS (DoT), DNSCurve, DNSCrypt atd.

DoH se nevztahuje na dotazy HTTP

Pokud otevíráte web, který nefunguje pomocí SSL, server DoH přejde zpět na starší technologii DNS (DNS-over-HTTP) známou také jako Do53.

Pokud ale všude používáte zabezpečenou komunikaci, je DoH rozhodně lepší než používat staré a nezabezpečené technologie DNS.

Ne všechny servery DNS podporují DoH

Existuje velké množství starších serverů DNS, které bude nutné upgradovat, aby podporovaly DNS-over-HTTPS. Široko rozšířené přijetí bude trvat dlouho.

Dokud nebude tento protokol podporován většinou serverů DNS, bude většina uživatelů nucena používat veřejné servery DNS nabízené velkými organizacemi.

To povede k větším problémům s ochranou osobních údajů, protože většina údajů DNS bude shromažďována na několika centralizovaných místech po celém světě.

Další nevýhodou včasného přijetí DoH je to, že pokud dojde ke zhroucení globálního serveru DNS, vypne to většinu uživatelů, kteří používají server k překladu názvů.

DoH bude pro podniky bolest hlavy

DoH sice zlepší zabezpečení, ale bude to bolet hlava pro podniky a organizace, které monitorují aktivity svých zaměstnanců a používají nástroje k blokování částí webu NSFW (není bezpečné pro práci).

Síťoví a systémoví administrátoři se s novým protokolem budou těžko vyrovnávat.

Zpomaluje používání DNS přes HTTPS procházení?

Při testování výkonu proti staršímu protokolu Do53 je třeba hledat dva aspekty DoH:

1. Výkon rozlišení rozlišení
2. Výkon načítání webové stránky

Výkon rozlišení názvu je metrika, kterou používáme k výpočtu doby, po kterou nám server DNS poskytne požadovanou IP adresu serveru webové stránky, kterou chceme navštívit.

Výkon načítání webové stránky je skutečnou metrikou toho, zda při procházení internetu pomocí protokolu DNS-over-HTTPS pociťujeme nějaké zpomalení.

Oba tyto testy byly provedeny společností samknows a konečným výsledkem je, že mezi DNS-over-HTTPS a staršími protokoly Do53 je zanedbatelný rozdíl ve výkonu.

Můžete si přečíst kompletní případová studie výkonu se statistikami na samknows .

Zde jsou souhrnné tabulky pro každou metriku, kterou jsme definovali výše. (Kliknutím na obrázek zvětšíte)

Test výkonu rozlišení názvu

Tabulka výkonu poskytovatelů internetových služeb DoH vs Do53

Test výkonu načítání webové stránky

Výkon načítání webové stránky DoH vs Do53

Jak povolit nebo zakázat DNS-over-HTTPS v systému Windows 10

Systém Windows 10 verze 2004 bude ve výchozím nastavení povolen s protokolem DNS přes HTTPS. Jakmile tedy vyjde další verze Windows 10 a upgradujete na nejnovější verzi, nebude nutné DoH ručně povolovat.

Pokud však používáte Windows 10 Insider Preview, budete muset DoH povolit ručně pomocí následujících metod:

Použití registru Windows

1. Jít do Spustit -> regedit . Tím se otevře Editor registru Windows.
2. Otevřete následující klíč registru:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
3. Klikněte pravým tlačítkem na Parametry složku a vyberte Novinka-> DWORD (32bitový) Hodnota.
4. Pojmenuj to EnableAutoDoh .
5. Nastavte hodnotu položky EnableAutoDoh na 2 .
   

Aby se změny projevily, budete muset restartovat počítač.

Tato změna se projeví pouze v případě, že používáte servery DNS, které podporují DNS-over-HTTPS. Níže najdete a seznam veřejných poskytovatelů DNS, kteří podporují DoH .

Starší verze Windows 10 včetně verzí 1909 a 1903 standardně nepodporují DoH.

Použití zásad skupiny

Tuto sekci si nechávám pro budoucí použití. Právě teď neexistují žádná pravidla zásad skupiny pro DNS-over-HTTPS. Kroky vyplníme, až je společnost Microsoft zpřístupní pro Windows 10 verze 2004.

Použití prostředí PowerShell (příkazový řádek)

Tuto sekci si nechávám pro budoucí použití. Pokud společnost Microsoft poskytuje způsob, jak povolit nebo zakázat DoH pomocí příkazového řádku, uvedeme zde kroky.

Jak povolit nebo zakázat DNS-over-HTTPS ve vašich prohlížečích

Některé aplikace podporují obcházení systému DNS konfigurovaného systémem a místo toho používají DNS-over-HTTPS. Téměř všechny moderní prohlížeče buď již podporují DoH, nebo budou v blízké budoucnosti protokol podporovat.

Povolte v prohlížeči Google Chrome DNS-over-HTTPS

1. Otevřete Google Chrome a přejděte na následující adresu URL:
   chrome://settings/security
2. Pod Pokročilé zabezpečení , zapnout Používejte zabezpečené DNS .
3. Po povolení zabezpečeného DNS budou k dispozici dvě možnosti:
   • S vaším aktuálním poskytovatelem služeb
   • S doporučenými poskytovateli služeb Google

Můžete si vybrat, co vám vyhovuje. Druhá možnost překoná nastavení DNS vašeho systému.

Povolte zabezpečený DNS v prohlížeči Google Chrome

Chcete -li zakázat DoH, jednoduše přepněte Používejte zabezpečené DNS nastavení na vypnuto .

Povolte DNS-over-HTTPS v Mozilla Firefox

1. Otevřete Firefox a přejděte na následující adresu URL:
   about:preferences
2. Pod Všeobecné , jít do Nastavení sítě a klikněte na Nastavení knoflík. Nebo jednoduše stiskněte A klávesu pro otevření nastavení.
3. Přejděte dolů a šek Povolit DNS přes HTTPS .
4. Z rozevíracího seznamu si můžete vybrat preferovaný zabezpečený server DNS.
   

Povolte DNS-over-HTTPS v Microsoft Edge

1. Otevřete Microsoft Edge a přejděte na následující adresu URL:
   edge://flags/#dns-over-https
2. Vybrat Povoleno z rozevíracího seznamu vedle Zabezpečené vyhledávání DNS .
3. Změny se projeví restartováním prohlížeče.
   

V prohlížeči Opera povolte DNS-over-HTTPS

1. Otevřete prohlížeč Opera a přejděte do Nastavení (Alt + P).
2. Rozšířit Pokročilý v nabídce vlevo.
3. V rámci systému zapnout Místo nastavení DNS systému použijte DNS-over-HTTPS .
4. Změny se projeví restartováním prohlížeče.
   

Zabezpečené nastavení DNS se neprojevilo, dokud jsem nevypnul vestavěnou službu VPN Opera. Pokud máte problémy s povolením DoH v Opeře, zkuste deaktivovat VPN.

Povolte DNS-over-HTTPS v prohlížeči Vivaldi

1. Otevřete prohlížeč Vivaldi a přejděte na následující adresu URL:
   vivaldi://flags/#dns-over-https
2. Vybrat Povoleno z rozevíracího seznamu vedle Zabezpečené vyhledávání DNS .
3. Změny se projeví restartováním prohlížeče.
   

Jak povolit DNS-over-HTTPS v systému Android

Android 9 Pie podporuje nastavení DoH. Chcete -li povolit DoH na telefonu Android, můžete postupovat níže:

1. Jít do Nastavení → Síť a internet → Pokročilé → Soukromý DNS .
2. Tuto možnost můžete buď nastavit na Auto, nebo můžete zadat zabezpečeného poskytovatele DNS sami.
   

Pokud tato nastavení ve svém telefonu nemůžete najít, můžete postupovat podle následujících kroků:

1. Stáhněte si a otevřete aplikaci QuickShortcutMaker z obchodu Google Play.
2. Přejděte do Nastavení a klepněte na:
   com.android.settings.Settings$NetworkDashboardActivity

Tím se dostanete přímo na stránku nastavení sítě, kde najdete možnost zabezpečeného DNS.

Jak zkontrolujete, zda používáte DNS-over-HTTPS?

Existují dva způsoby, jak zkontrolovat, zda je DoH správně povoleno pro vaše zařízení nebo prohlížeč.

Nejjednodušší způsob, jak to zkontrolovat, je přejít na tato stránka kontroly prohlížení cloudflare . Klikněte na Zkontrolujte můj prohlížeč knoflík.

Pokud používáte DoH, v části Zabezpečené DNS se zobrazí následující zpráva: | _+_ |

Pokud nepoužíváte DoH, zobrazí se následující zpráva: | _+_ |

Windows 10 verze 2004 také umožňuje monitorovat pakety portu 53 v reálném čase. To nám řekne, zda systém používá DNS-over-HTTPS nebo starší Do53.

1. Otevřete PowerShell s oprávněními správce.
2. Spusťte následující příkazy:
   pktmon filter remove
   Tím se odstraní všechny aktivní filtry, pokud existují.
   pktmon filter add -p 53
   Tím se přidává port 53, který má být monitorován a protokolován.
   pktmon start --etw -m real-time
   Začíná to monitorováním portu 53 v reálném čase.
   

Pokud vidíte, že je v seznamu zobrazen velký provoz, znamená to, že místo DoH se používá starší Do53.

Výše uvedené příkazy budou fungovat pouze v systému Windows 10 verze 2004. V opačném případě se zobrazí chyba: Neznámý parametr „v reálném čase“

Seznam názvových serverů, které podporují DoH

Zde je seznam poskytovatelů služeb DNS, kteří podporují DNS-over-HTTPS.

Poskytovatel	Název hostitele	IP adresa
AdGuard	dns.adguard.com	176,103,130,132 176,103,130,134
AdGuard	dns-family.adguard.com	176,103,130,132 176,103,130,134
CleanBrowsing	family-filter-dns.cleanbrowsing.org	185,228,168,168 185,228,169,168
CleanBrowsing	adult-filter-dns.cleanbrowsing.org	185,228,168,10 185.228.169.11
Cloudflare	one.one.one.one 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Cloudflare	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Cloudflare	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
DalšíDNS	dns.nextdns.io	45,90,28,0 45,90,30,0
OpenDNS	dns.opendns.com	208,67,222,222 208,67,220,220
OpenDNS	familyshield.opendns.com	208.67.222.123 208,67,220,123
OpenDNS	sandbox.opendns.com	208,67,222,2 208,67,220,2
Quad9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149,112,112,112

Ačkoli DNS-over-HTTPS činí web bezpečnějším a měl by být implementován jednotně na celém webu (jako v případě HTTPS), tento protokol přinese sysadminům noční můry.

Sysadmins musí najít způsoby, jak blokovat veřejné služby DNS a zároveň povolit svým interním serverům DNS používat DoH. To je třeba udělat, aby bylo aktuální monitorovací zařízení a zásady omezení aktivní v celé organizaci.

Pokud mi v článku něco uniklo, dejte mi prosím vědět v níže uvedených komentářích. Pokud se vám článek líbil a dozvěděli jste se něco nového, sdílejte ho prosím se svými přáteli a na sociálních sítích a přihlaste se k odběru našeho zpravodaje.