Каждый раз, когда вы открываете сайт, устройство отправляет DNS-запрос — «переводит» доменное имя вроде google.com в IP-адрес. По умолчанию этот запрос передаётся в открытом виде по протоколу UDP на порт 53. Никакого шифрования — ни провайдер, ни администратор сети не имеют проблем с чтением этих данных.
Это значит, что даже если вы заходите на сайт по HTTPS, ваш провайдер всё равно видит каждое доменное имя в вашем списке запросов. DNS-запросы — это полный журнал ваших интересов в сети.
Два основных решения этой проблемы — DoH и DoT. Оба шифруют DNS-трафик, но делают это по-разному.
DNS-over-HTTPS (RFC 8484) отправляет DNS-запросы внутри обычного HTTPS-соединения на порту 443. С точки зрения сети — это неотличимо от обычного веб-трафика: браузер постоянно ходит на порт 443, и DNS-запрос теряется в этом потоке.
Именно поэтому DoH сложнее заблокировать: нельзя просто закрыть порт 853, не сломав весь HTTPS. Firefox и Chrome поддерживают DoH нативно — вы включаете его в настройках, и браузер сам начинает использовать зашифрованный DNS без изменений на уровне операционной системы.
DNS-over-TLS (RFC 7858) работает похожим образом, но использует отдельный порт — 853. DNS-запросы шифруются TLS-туннелем, но остаются видимыми как DNS-трафик с точки зрения сетевого администратора.
DoT чаще настраивается на уровне операционной системы или роутера: устройство использует DoT для всех приложений сразу, а не только для браузера. Android поддерживает DoT нативно — функция называется «Частный DNS».
| Параметр | DoH | DoT |
|---|---|---|
| Порт | 443 (HTTPS) | 853 (выделенный) |
| Видимость для ISP | Неотличим от HTTPS | Виден как DNS-трафик |
| Простота блокировки | Сложно (443 нельзя закрыть) | Просто (заблокировать 853) |
| Где настраивается | В браузере / ОС | В ОС / роутере |
| Поддержка браузерами | Firefox, Chrome, Edge, Safari | Через системный DNS |
| Android | Частично | Встроен (Частный DNS) |
| Шифрование | TLS 1.3 | TLS 1.3 |
| Приватность от ISP | Высокая | Высокая |
DoH — оптимальный выбор для большинства пользователей. Он проще в настройке на уровне браузера, сложнее блокируется и уже встроен в Firefox и Chrome.
DoT — лучше, если вы хотите защитить весь трафик устройства сразу, включая приложения и фоновые процессы. На Android это делается одной настройкой «Частный DNS».
DoH и DoT решают проблему перехвата DNS-запросов провайдером, но это не полная анонимность:
Для максимальной защиты шифрованный DNS стоит комбинировать с шифрованием всего трафика — тогда провайдер не увидит ни DNS-запросы, ни IP-адреса, ни SNI.
Для обычного пользователя лучше DoH: он идёт на порту 443 как обычный HTTPS, его сложнее заблокировать провайдеру, и он настраивается в браузере без правок системы. DoT (порт 853) проще отличить в сети и элементарно блокируется — но он работает на уровне всей ОС, а не отдельного приложения.
DoH оборачивает DNS-запрос в HTTPS и отправляет на порт 443 — трафик неотличим от обычного веб-сёрфинга. DoT использует отдельный порт 853 и свой TLS-протокол — он проще в реализации, но сразу выдаёт себя в сетевом анализе. Обе технологии шифруют DNS, но DoH лучше маскируется.
Нет — сам DNS-запрос зашифрован внутри HTTPS и не виден провайдеру. Провайдер видит только, что вы подключаетесь к серверу DoH (например, 1.1.1.1). А какие домены вы запрашиваете — скрыто.
Практически нет смысла. Обе технологии решают одну задачу — шифрование DNS. Выбирайте одну: для браузера — DoH, для уровня всей ОС на Android/iOS/macOS — DoT через профиль.
DoH в большинстве случаев работает — блокировать порт 443 нельзя, это сломает весь HTTPS. DoT на порту 853 провайдеры и корпоративные сети режут чаще. Для гарантированной работы DNS-приватности нужен шифрованный канал, который маскирует весь трафик.
Нет. DoH и DoT шифруют только DNS-запросы. Сам веб-трафик, IP-адреса серверов и поле SNI в TLS ClientHello остаются видимыми провайдеру. Полную приватность даёт только шифрование всего соединения.
DoH и DoT защищают только DNS. AuraShield шифрует весь трафик от устройства до сервера — провайдер не видит ни запросы, ни адреса назначения.
Попробовать бесплатно →