Блог/Приватность
Приватность6 апреля 2026· 8 мин чтения

ECH и DoH: как браузер скрывает DNS и SNI от провайдера

Когда вы открываете сайт по HTTPS, провайдер всё равно видит, куда вы идёте. ECH и DoH — два механизма, которые закрывают эту брешь. Разбираемся, как они работают и чем отличаются друг от друга.

Содержание
  1. Что видит провайдер при HTTPS-соединении
  2. SNI: имя сайта в открытом тексте
  3. DoH — DNS-over-HTTPS: скрываем DNS-запросы
  4. ECH — Encrypted Client Hello: скрываем SNI
  5. ECH vs DoH: в чём разница
  6. Поддержка в браузерах и на серверах
  7. Ограничения и почему этого недостаточно
  8. Итог

Что видит провайдер при HTTPS-соединении

Многие думают: раз соединение зашифровано и в адресной строке замок — провайдер ничего не видит. Это не так.

При установке HTTPS-соединения браузер сначала выполняет DNS-запрос (узнаёт IP-адрес сайта), а потом отправляет TLS ClientHello — пакет, содержащий имя сайта в открытом виде. Это поле называется SNI (Server Name Indication).

Что видно провайдеру
Даже для зашифрованного HTTPS-сайта провайдер видит: DNS-запрос с именем домена, IP-адрес сервера, объём трафика и время соединения, а также SNI-поле в TLS ClientHello — то есть точное имя сайта.

Именно для решения этих двух проблем и были разработаны DoH и ECH.

SNI: имя сайта в открытом тексте

SNI появился как решение проблемы виртуального хостинга: когда один сервер обслуживает несколько сайтов, ему нужно знать, для какого из них выдать TLS-сертификат. SNI передаётся в начале TLS-рукопожатия — ещё до того, как шифрование установлено.

Это означает, что SNI виден всем, кто находится на пути между вами и сервером: вашему провайдеру, оператору публичного Wi-Fi, системам глубокой инспекции пакетов (DPI). Раньше предлагался ESNI (Encrypted SNI) — но он не получил широкого распространения. ECH — его более проработанный преемник.

DoH — DNS-over-HTTPS: скрываем DNS-запросы

Обычный DNS работает через UDP/порт 53 в открытом виде. Провайдер видит каждый ваш запрос: google.com, youtube.com, любой сайт. DNS-over-HTTPS отправляет эти запросы как обычный HTTPS-трафик — зашифрованно и внешне неотличимо от веб-сёрфинга.

Как работает DoH

1
Браузер отправляет DNS-запрос не на системный резолвер, а на DoH-сервер по HTTPS
2
Запрос выглядит как обычный HTTPS-трафик — провайдер видит только IP DoH-сервера
3
DoH-сервер разрешает имя и возвращает IP зашифрованно
4
Провайдер не видит, какой домен вы запрашивали

Популярные DoH-серверы: Cloudflare (1.1.1.1), Google (8.8.8.8), NextDNS. Браузеры Chrome и Firefox поддерживают DoH и позволяют выбрать провайдера в настройках.

Важно
DoH защищает только DNS-запросы. Само TLS-соединение по-прежнему содержит SNI — имя сайта в открытом виде. DoH и ECH решают разные задачи.

ECH — Encrypted Client Hello: скрываем SNI

ECH (Encrypted Client Hello) — это расширение TLS 1.3, которое шифрует всё поле ClientHello, включая SNI. Вместо реального имени сайта провайдер видит только адрес CDN или фронтенд-сервера (например, Cloudflare).

Как работает ECH

1
Сервер публикует ECH-конфиг в DNS (запись HTTPS/SVCB)
2
Браузер получает публичный ключ через DoH-запрос
3
Браузер шифрует ClientHello с реальным SNI этим ключом
4
Провайдер видит только внешний SNI (например, cloudflare-ech.com)
5
Сервер расшифровывает реальный ClientHello своим приватным ключом

Ключевой момент: ECH требует, чтобы сайт его поддерживал и публиковал конфиг в DNS. Большинство сайтов за Cloudflare поддерживают ECH автоматически — Cloudflare включил его по умолчанию в 2023 году.

ECH vs DoH: в чём разница

ТехнологияЧто скрываетЧто остаётся видимым
DoHDNS-запросы (имена доменов)SNI в TLS ClientHello, IP сервера
ECHSNI в TLS ClientHelloIP CDN/прокси, объём трафика
DoH + ECHDNS-запросы + SNIIP CDN/прокси, объём трафика
Шифр. соединение (VPN)Всё: DNS, SNI, IP, объёмIP сервера шифр. соединения

Поддержка в браузерах и на серверах

DoH

  • Chrome — поддерживает, включается в Настройки → Конфиденциальность → DNS
  • Firefox — поддерживает, можно выбрать провайдера в настройках
  • Safari — поддерживает через профили (macOS Monterey+, iOS 14+)
  • Edge — поддерживает, аналогично Chrome

ECH

  • Chrome 117+ — поддерживает ECH по умолчанию
  • Firefox 118+ — поддерживает ECH
  • Safari — частичная поддержка в последних версиях
  • Сайты за Cloudflare — ECH включён автоматически
  • Самостоятельно хостируемые сайты — требуют настройки
Блокировка ECH в России
Роскомнадзор ограничивает ECH через требования к операторам связи. Некоторые провайдеры блокируют трафик с зашифрованным ClientHello, заставляя браузер откатиться к обычному SNI. Обойти это можно только через полностью шифрованный канал.

Ограничения и почему этого недостаточно

DoH и ECH — важные улучшения, но они не решают всех задач приватности:

  • !IP-адрес сервера всё равно виден — можно определить сайт по IP
  • !Объём и тайминг трафика остаются видимыми — анализ по поведению
  • !DoH требует доверия DoH-провайдеру (Cloudflare, Google) — они видят DNS
  • !ECH работает только с TLS 1.3 и только если сайт это поддерживает
  • !Российские провайдеры могут блокировать ECH на уровне DPI
  • !Мобильные приложения (не браузер) могут не поддерживать DoH/ECH

Полностью скрыть трафик от провайдера может только шифрование всего соединения на уровне транспорта — когда весь трафик (включая DNS, SNI, IP назначения и объём) уходит в зашифрованный туннель.

Итог

DoH

Скрывает DNS-запросы. Включите в браузере — это просто и бесплатно.

ECH

Скрывает SNI. Работает автоматически в современных браузерах для поддерживающих сайтов.

Шифр. соединение

Скрывает всё. Единственный способ полностью скрыть трафик.

DoH и ECH — хорошие инструменты, которые стоит включить в браузере. Но для полноценной приватности они должны дополняться шифрованием всего трафика. Только так провайдер не видит ни DNS-запросы, ни SNI, ни IP-адреса серверов.

Часто задаваемые вопросы

DoH (DNS-over-HTTPS) шифрует ваши DNS-запросы — какие сайты вы смотрите, больше не видит провайдер. ECH (Encrypted Client Hello) шифрует имя сайта в TLS-рукопожатии — поле SNI. Вместе они закрывают две главные утечки при обычном HTTPS.

Нет. DoH прячет DNS-запросы (шаг «узнать IP сайта»), ECH прячет SNI (шаг «сообщить серверу, за каким сайтом пришёл»). Это разные фазы соединения и разные технологии, которые работают вместе.

Да. DoH защищает только DNS. Сразу после DoH браузер отправляет TLS ClientHello с именем сайта в открытом виде — это SNI. Без ECH провайдер всё равно видит, на какой сайт вы идёте. Только ECH + DoH закрывают обе утечки.

Да. Chrome 117+ и Firefox 118+ поддерживают ECH по умолчанию. На сервере ECH должен быть включён — у сайтов за Cloudflare он активен автоматически с 2023 года. Для самостоятельного хостинга ECH требует отдельной настройки DNS-записей HTTPS/SVCB.

Российские провайдеры блокируют TLS-соединения с зашифрованным ClientHello по требованиям Роскомнадзора. Браузер при блокировке откатывается к обычному SNI, и приватность теряется. Гарантированная защита — только через шифрованный туннель, где весь трафик маскируется под один IP.

Нет. Даже с ECH и DoH остаются видимыми: IP-адрес сервера (можно идентифицировать сайт по IP), объём и тайминг трафика (паттерн-анализ). Полностью скрыть активность можно только шифрованием всего соединения.

AuraShield

Полное шифрование трафика

VLESS-Reality шифрует весь трафик — DNS, SNI, IP — и маскирует соединение под обычный HTTPS. Провайдер видит только обращение к нашему серверу. Два дня бесплатно.

Попробовать бесплатно →
Читайте также
ПриватностьDNS и приватность: почему каждый ваш сайт виден провайдеруЧитать →ПриватностьDoH против DoT: в чём разница и что выбратьЧитать →ГайдКак включить DoH в Firefox, Chrome и SafariЧитать →
← Назад в блог