Когда телефон открывает сайт или приложение, он сперва спрашивает у DNS-сервера: «какой IP-адрес у google.com?». По умолчанию этот запрос идёт в открытом виде на UDP-порт 53. Любой между вами и DNS-сервером — провайдер, общественный Wi-Fi в кафе, роутер в отеле — видит полный список сайтов и приложений, которые вы открываете.
DNS-over-HTTPS (DoH) запечатывает эти запросы в зашифрованное HTTPS-соединение. Провайдер больше не видит, что именно вы ищете — только факт подключения к DNS-серверу (например, Cloudflare).
Что даёт DoH на мобильном
— провайдер не видит список доменов, которые вы открываете;
— публичный Wi-Fi не может подсунуть фишинговую страницу через MITM;
— блокировки по DNS-списку (уровня «заблокируем домен у всех провайдеров») перестают работать;
— с NextDNS/AdGuard можно резать рекламу и трекеры для всех приложений.
Что DoH не скрывает: сам IP-адрес сервера, к которому идёт соединение, и SNI (имя сайта в TLS-рукопожатии). Для полной приватности нужен VPN или Reality-туннель — но как первый шаг DoH закрывает самое очевидное место утечки.
Android: «Частный DNS»
С Android 9 Pie (2018 год) у всех смартфонов есть встроенная поддержка DoT (DNS-over-TLS) в настройках «Частный DNS». Это самый простой способ: один раз указал сервер — защищён весь трафик телефона, включая приложения и системные обновления.
Включение «Частного DNS» — Android 9+
1
Откройте Настройки
2
Перейдите в Сеть и интернет → Частный DNS (на Samsung:«Подключения → Другие настройки → Частный DNS»; на Xiaomi/MIUI:«Подключения и обмен → Частный DNS»)
3
Выберите «Имя хоста поставщика услуг частного DNS»
4
Введите адрес сервера и сохраните:
one.one.one.one // Cloudflare
dns.google // Google
dns.quad9.net // Quad9 (с блокировкой вредоносных)
abc123.dns.nextdns.io // NextDNS с вашим ID
5
Проверьте: откройте 1.1.1.1/help в браузере — строка «Using DNS over TLS (DoT)» должна быть зелёной
Важный нюанс: стандартные настройки Android называют это «DoT» (DNS-over-TLS), не DoH. Для конечного пользователя разницы нет — оба шифруют DNS-запросы. DoT работает на отдельном порту 853, DoH маскируется под обычный HTTPS на 443. Для более глубокого сравнения смотрите статью «DoH или DoT: что лучше».
Если хочется именно DoH, а не DoT
На Android стандартная настройка даёт DoT. Для DoH (порт 443, маскировка под HTTPS) используйте приложения — самые популярные:
→1.1.1.1: Faster Internet от Cloudflare — бесплатно, один переключатель
→Intra от Jigsaw (Google) — open-source, ставишь и включаешь DoH
→NextDNS — свой DNS-сервер с фильтрами рекламы и трекеров
→AdGuard DNS — бесплатный DoH с блокировкой рекламы
iPhone и iPad: профиль конфигурации
У iOS нет встроенного поля «введите DoH-сервер» — Apple реализовала DoH через профили конфигурации с iOS 14 (2020). Один раз установили профиль — защищён весь трафик системы, включая Safari, Chrome, приложения банков и мессенджеры.
Профиль Cloudflare 1.1.1.1
1
Откройте Safari и перейдите на 1.1.1.1/dns/
2
Прокрутите вниз и нажмите «Download profile on iOS 14+»
3
Safari предупредит про загрузку профиля — разрешите
4
Настройки (вверху под именем появится «Профиль загружен») → нажмите на профиль → «Установить» → введите код-пароль устройства
5
Проверка: Настройки → Основные → VPN и управление устройством → DNS. Должен быть виден активный Cloudflare (или тот сервер, который вы установили)
Профиль NextDNS (с блокировкой рекламы)
NextDNS — сервис с персональным DoH-сервером и фильтрами. Заводите аккаунт на my.nextdns.io, выбираете блок-листы (реклама, трекеры, вредоносные домены, «взрослый» контент), затем скачиваете профиль конфигурации специально под вашу учётку.
1
Зарегистрируйтесь на nextdns.io — бесплатный план до 300 000 запросов в месяц
2
На странице «Setup» выберите iOS → Download Profile
3
Установите профиль так же, как для Cloudflare
4
В панели NextDNS смотрите статистику: какие сайты запрашивались, сколько рекламы заблокировано, какие трекеры обезврежены
Через приложение 1.1.1.1 из App Store
Если не хотите возиться с профилями — приложение Cloudflare 1.1.1.1: Faster Internet делает всё за один тап. В шторке iOS появится значок VPN (это не VPN в привычном смысле — трафик идёт напрямую, только DNS завёрнут в DoH).
Приложения: 1.1.1.1 и NextDNS
Приложения — самый простой путь для обеих систем. Не нужны профили и инструкции — установил, нажал переключатель, готово.
1.1.1.1 от Cloudflare
— бесплатно, без регистрации
— есть режим WARP (базовый VPN)
— Cloudflare не логирует DNS дольше 24 часов
— не режет рекламу
— Android, iOS, macOS, Windows, Linux
NextDNS
— бесплатно до 300 000 запросов/мес
— блокировка рекламы, трекеров, фишинга
— статистика по доменам и приложениям
— «родительский контроль» и блок-листы
— DoH, DoT, DoQ — на выбор
Сравнение серверов DoH
Сервер
Адрес (DoT)
Особенности
Cloudflare
one.one.one.one
Самый быстрый в Европе, логи 24 часа
Google
dns.google
Стабильный, логи дольше
Quad9
dns.quad9.net
Блокирует вредоносные домены
NextDNS
...dns.nextdns.io
Свои фильтры, статистика
AdGuard
dns.adguard-dns.com
Блокирует рекламу и трекеры
Как проверить, что DoH работает
После настройки обязательно проверьте — иначе может оказаться, что телефон всё ещё шлёт запросы в открытом виде.
Cloudflare тест
Откройте 1.1.1.1/help в браузере телефона — страница покажет статус DoH/DoT, провайдера и IP. Все три зелёные «Using» → всё работает.
DNS Leak Test
Зайдите на dnsleaktest.com → «Extended Test». В результатах должен отображаться Cloudflare, Google или ваш выбранный сервер, а не провайдер.
Проверка на Android
Настройки → Сеть и интернет → Частный DNS — текущий сервер должен быть подсвечен. Если серый — не подключилось.
Проверка на iOS
Настройки → Основные → VPN и управление устройством → DNS — активный профиль должен иметь галочку.
Что делать, если сайт не открывается
После включения DoH/DoT некоторые сайты могут перестать открываться. Самые частые причины:
→Домен заблокирован DNS-фильтром. Quad9, NextDNS и AdGuard блокируют вредоносные и трекерные домены. Проверьте на 1.1.1.1 (без фильтров) — если там открывается, виноват фильтр.
→Локальные сайты в офисе/дома (router.local, корпоративный портал) — внешний DNS их не знает. На Android можно временно отключить «Частный DNS» для Wi-Fi, на iOS — выключить профиль.
→DNS-сервер временно недоступен. Попробуйте переключиться на другой (dns.google вместо one.one.one.one).
→Captive portal в отеле/кафе. Страница авторизации в Wi-Fi часто ломается с чужим DNS — на время подключения выключите «Частный DNS» или профиль.
Часто задаваемые вопросы
«Частный DNS» (DoT) быстрее на 5–10 мс и не ест батарею: он интегрирован в системный DNS-резолвер. Приложения вроде 1.1.1.1 чуть медленнее, но дают больше контроля — можно смотреть статистику, переключать серверы, включать WARP.
Да, DoH работает одинаково на Wi-Fi и мобильных сетях. На Android «Частный DNS» автоматически применяется к любому подключению. На iOS установленный профиль тоже активен всегда, независимо от типа сети.
DoH добавляет ~100 байт на запрос из-за TLS-обёртки. При обычном использовании телефона это 1–2 МБ в день — незаметно на любом тарифе. Экономия на блокировке рекламы (NextDNS/AdGuard) обычно перекрывает эти издержки.
Нет. Защищённое соединение (VPN, Reality-туннель) уже шифрует весь трафик, включая DNS-запросы внутри туннеля. Включать отдельно DoH имеет смысл только если соединение отключено или вы пользуетесь split-tunneling.
Да, DoH через Cloudflare, Google и NextDNS работает в РФ на мобильном и домашнем интернете. Провайдеры могут блокировать отдельные IP-адреса DNS-серверов в моменты повышенных ограничений — тогда сервер не отвечает и телефон падает обратно на системный DNS.
Cloudflare 1.1.1.1 — лучший вариант по умолчанию: быстрый, без логов дольше 24 часов, поддерживает ECH. NextDNS — если нужна блокировка рекламы и статистика. Quad9 — если хотите защиту от фишинговых доменов. AdGuard — для резки рекламы без регистрации.
DoH — это только первый слой
DoH защищает DNS-запросы, но провайдер по-прежнему видит IP-адреса серверов и SNI. AuraShield шифрует весь трафик телефона целиком — DNS, IP и SNI — и маскирует его под обычный HTTPS с помощью VLESS-Reality.