Когда браузер переводит доменное имя в IP-адрес, он по умолчанию отправляет запрос в открытом виде через UDP на порт 53. Провайдер видит каждый запрос — по сути, полный список сайтов, которые вы посещаете.
DNS-over-HTTPS в браузере заменяет этот канал на зашифрованное HTTPS-соединение с публичным DNS-сервером (Cloudflare, Google или другим). Провайдер видит только подключение к IP DNS-сервера — без содержимого запросов.
Важно понимать
Браузерный DoH защищает только DNS-запросы из браузера. Другие приложения (мессенджеры, торрент-клиенты, системные обновления) по-прежнему используют системный DNS. Для защиты всего трафика устройства смотрите настройки «Частный DNS» на Android или системные настройки DNS с DoT/DoH.
Firefox — самый гибкий выбор
Firefox поддерживает DoH с 2019 года и предлагает несколько режимов работы. Это единственный браузер, где можно ввести произвольный DoH-адрес.
Включение DoH в Firefox
1
Откройте Настройки (☰ → Настройки)
2
Перейдите в раздел Конфиденциальность и защита
3
Прокрутите вниз до блока DNS через HTTPS
4
Выберите режим защиты — «Максимальная» рекомендуется
5
В поле «Провайдер» выберите Cloudflare, NextDNS или введите свой адрес. Для Google DNS: https://dns.google/dns-query
Режимы DoH в Firefox:
Выключено — DoH не используется
Включено (с резервом) — если DoH недоступен, переходит на системный DNS
Максимальная — только DoH; если недоступен, показывает ошибку
Тонкая настройка через about:config
Для продвинутых: в строке адреса введите about:config, найдите network.trr.mode и network.trr.uri.
network.trr.mode = 3 // только DoH (максимальная защита)
Chrome и основанный на нём Edge поддерживают DoH с версии 83. Настройка одинаковая для обоих браузеров — только стандартные провайдеры из встроенного списка.
Включение DoH в Chrome
1
Откройте Настройки (⋮ → Настройки)
2
Перейдите в Конфиденциальность и безопасность → Безопасность
3
Включите «Использовать безопасный DNS»
4
Выберите провайдера: Google (Public DNS), Cloudflare или другой из списка
Включение DoH в Edge
1
Откройте Настройки (… → Настройки)
2
Перейдите в Конфиденциальность, поиск и службы
3
Раздел Безопасность → «Использовать безопасный DNS»
4
Выберите «Выбрать провайдер DNS» → укажите сервис из списка
Chrome и пользовательские DoH-серверы: в отличие от Firefox, Chrome не позволяет ввести произвольный URL. Только серверы из встроенного списка: Google (8.8.8.8), Cloudflare (1.1.1.1), Quad9 (9.9.9.9), CleanBrowsing и OpenDNS.
Safari (macOS и iOS)
Safari не имеет встроенных настроек DoH — конфигурация происходит на уровне системы через профили конфигурации. На macOS это означает установку специального профиля; на iOS — то же самое.
macOS: через системные настройки DNS
1
Системные настройки → Сеть → выберите интерфейс → Подробнее → вкладка DNS
2
Добавьте 1.1.1.1 и 1.0.0.1
3
Для DoH установите профиль: Cloudflare предоставляет готовый на 1.1.1.1/dns/
iOS: профиль конфигурации
На iPhone перейдите на сайт Cloudflare 1.1.1.1 через Safari и скачайте профиль конфигурации. Он добавит DoH/DoT как системный DNS для всех приложений, включая Safari.
DoH в Safari на iPhone и iPad
У Safari на iOS и iPadOS нет собственной настройки DNS-over-HTTPS — Apple решила делать DoH на уровне всей системы, а не отдельно в браузере. Это значит, что один установленный профиль защищает Safari, Chrome, приложения банков, мессенджеры и даже системные обновления iOS.
Вариант 1 — профиль Cloudflare 1.1.1.1
1
Откройте Safari на iPhone и перейдите на 1.1.1.1/dns/
2
Прокрутите вниз и нажмите «Download profile on iOS 14+»
3
Safari предупредит: «Веб-сайт пытается загрузить профиль конфигурации» → Разрешить
4
Откройте Настройки (самый верх, под именем появится «Профиль загружен») → нажмите на профиль
5
Нажмите «Установить» в правом верхнем углу → введите код-пароль устройства → ещё раз «Установить»
6
Проверка: Настройки → Основные → VPN и управление устройством → DNS — там должен появиться Cloudflare (1.1.1.1)
Вариант 2 — приложение 1.1.1.1 из App Store
Бесплатное приложение Cloudflare 1.1.1.1: Faster Internet делает то же самое без скачивания профилей: открыл, нажал переключатель — и DoH включён для всей системы, включая Safari.
1
Установите из App Store приложение 1.1.1.1
2
Откройте, нажмите «Подключить»
3
iOS попросит разрешить добавление VPN-конфигурации — Разрешить, ввести Face ID/Touch ID
4
Готово. Переключатель в приложении зелёный, в шторке iOS появляется значок VPN (это не VPN в привычном смысле — трафик идёт напрямую, только DNS завёрнут в DoH)
Вариант 3 — NextDNS для кастомного фильтра
Если нужен не просто зашифрованный DNS, а ещё и блокировка рекламы/трекеров — NextDNS даёт готовый профиль с личным ID. На сайте nextdns.io заводите аккаунт, настраиваете фильтры, скачиваете профиль в Safari. Работает для всего устройства, включая Safari, приложения и виджеты.
Важно для iPhone: DoH-профиль и обычный VPN не могут быть активны одновременно для одного и того же трафика. Если у вас уже есть VPN с собственным DNS — DoH-профиль можно не устанавливать, всё уже шифруется туннелем.
Как удалить профиль, если что-то пошло не так
Если Safari перестал открывать какой-то сайт после установки DoH-профиля — DNS-сервер мог заблокировать домен как вредоносный или рекламный. Удалить профиль: Настройки → Основные → VPN и управление устройством → DNS →выбрать «Автоматически» вместо Cloudflare/NextDNS.
Как проверить, что DoH работает
После включения DoH в браузере проверьте, что запросы действительно идут зашифрованно.
Тест Cloudflare
Откройте 1.1.1.1/help в браузере — страница покажет статус DoH и DoT для вашего соединения.
Тест DNS leak
Зайдите на dnsleaktest.com и запустите расширенный тест. Если в результатах отображается ваш DoH-провайдер (Cloudflare, Google), всё работает.
Анализ трафика
В DevTools (F12) → вкладка Network: не должно быть DNS-запросов по UDP; все запросы идут через HTTPS к DoH-серверу.
Ограничения браузерного DoH
Браузерный DoH — хорошее начало, но у него есть важные ограничения:
→Только браузер. DNS из других приложений (Telegram, почта, обновления системы) по-прежнему идут через провайдерский DNS.
→SNI всё ещё виден. Даже с DoH провайдер видит SNI (Server Name Indication) при HTTPS-соединениях — имя сайта передаётся в открытом поле TLS. Помогает ECH, но поддерживается не везде.
→IP-адреса видны. Провайдер видит IP-адреса серверов, с которыми соединяется браузер. По IP часто можно определить сайт.
→Зависимость от DoH-провайдера. Теперь Cloudflare или Google видят ваши DNS-запросы вместо провайдера.
Часто задаваемые вопросы
У самого Safari нет отдельной настройки DoH — Apple реализовала его на уровне всей системы iOS. Достаточно установить профиль конфигурации (Cloudflare, NextDNS) или приложение 1.1.1.1 — и DoH будет работать в Safari, Chrome и всех остальных приложениях одновременно.
Откройте в Safari сайт 1.1.1.1/help — страница покажет статусы «Connected to 1.1.1.1» и «Using DNS over HTTPS (DoH)». Если оба зелёные — Safari и все приложения на iPhone отправляют DNS через шифрованный HTTPS-канал.
Нет. DoH добавляет 5–15 мс к первому запросу на домен; дальше ответ кешируется. На Wi-Fi и 5G разница незаметна, на слабом 3G может добавиться ~50 мс на открытие нового сайта. При этом экономится трафик на трекерах, если используется NextDNS с фильтром рекламы.
Технически iOS отдаёт приоритет активному VPN: весь трафик, включая DNS, идёт через туннель. Профиль DoH при этом неактивен — и это нормально, VPN уже шифрует DNS внутри своего туннеля. Оставлять оба одновременно безопасно, но одновременно они работать не будут.
Cloudflare 1.1.1.1 — самый быстрый в большинстве регионов, не логирует запросы дольше 24 часов, поддерживает Encrypted Client Hello. Google 8.8.8.8 — стабильный, но логирует дольше. NextDNS — для тех, кому нужны фильтры рекламы и трекеров. Quad9 9.9.9.9 — с блокировкой вредоносных доменов.
Chrome на iOS под капотом использует движок Safari (WebKit), поэтому DNS-настройки берутся системные. Установленный DoH-профиль Cloudflare или NextDNS автоматически защищает Chrome — отдельно включать ничего не нужно.
Защита за пределами браузера
DoH в браузере защищает DNS-запросы только внутри браузера. AuraShield шифрует весь трафик устройства — и DNS, и HTTPS, и приложения — от вашего устройства до сервера в другой стране.