Настраиваем DNS over HTTPS

Безопасность – штука сложная, и разбираться в ней никому особо не хочется. Но, если в двух словах, протокол DNS over HTTPS передаёт ваши DNS-запросы по зашифрованному HTTPS-каналу, тем самым защищая их от возможного перехвата и модификации. Ваш браузер, скорее всего, уже давно поддерживает DoH. Осталось лишь выбрать сервис, которому вы сможете доверять. Этим и займёмся!

Настраиваем DNS over HTTPS

В ситуации с AdGuard до сих пор нет никакой конкретики: разрабы уверены, что причиной столь масштабного сбоя стала блокировка AdGuard VPN (что логично, учитывая, что другие страны вообще не задело), вот только никаких официальных запросов от российских регуляторов они не получали, а РКН вроде как и вовсе отрицает факт блокировки AdGuard на территории РФ. При этом сама «блокировка» в большей степени затронула мобильные операторы (там всё легло намертво). Странно? Странно. И, окромя блокировки, адекватных версий пока немного, ибо случайный сбой затронул бы не только РФ, но и другие страны. Причём странности на этом не заканчиваются, но особо вдаваться в подробности мне бы пока не хотелось.

В общем, придётся потихоньку искать альтернативу. За VPN особо не шарю (тут я консерватор-параноик и более-менее доверял только AdGuard), автоматическое обновление правил блокировки рекламы, скорее всего, довольно быстро вернут (тупо настроят обновления в обход официального сайта), а вот что будет с DNS пока сказать сложно.

Для справки:

DNS (Domain Name System, то есть система доменных имён) используется для получения IP-адреса нужного вам сайта. Фишка в том, что сам по себе ваш браузер не может открыть условный zen.yandex.ru, ему нужно знать его IP.

DNS – это что-то вроде телефонного справочника: вы же не набираете номер нужного абонента вручную, вы просто выбираете его из списка контактов. А благодаря DNS мы и в интернете вместо IP можем вводить довольно простые для запоминания URL-адреса. Операторов DNS много, и по умолчанию эти услуги предоставляет ваш интерет-провайдер.

DNS over HTTPS (DoH) передаёт ваши DNS-запросы по зашифрованному протоколу HTTPS, тем самым защищая их от перехвата посторонними лицами.

Популярные сервисы DoH

У меня не так много программ «просятся» в интернет (системные обновления, браузер и синхронизация даты и времени) поэтому меня в первую очередь интересует даже не DNS, а именно DNS over HTTPS. Благо, большинство браузеров уже давно предлагают на выбор сразу несколько подобных сервисов. К примеру, пользователям браузеров на основе Chromium доступны следующие варианты (ссылки ведут на политику конфиденциальности):

У Firefox всё скромнее: либо Cloudflare, либо ищите что-то своё. И вот об этом «своём» я бы и хотел сегодня поговорить.

Как настроить DoH?

Начнём с того, что предлагает нам Chromium:

  • Google и так знает о вас слишком много. Как-то не особо хочется доверять ему ещё больше довольно деликатных данных (всё-таки в истории браузера всякое может промелькнуть).
  • У Cloudflare, как и у AdGuard, также «был» свой VPN. Называется он Warp, и он тоже вроде как уже заблокирован. Долго ли при таком раскладе протянет их DoH?
  • Семейный фильтр нужен далеко не всем, но списывать со счетов CleanBrowsing я бы пока не стал (там много интересных вариантов).
  • Остаётся только OpenDNS от Cisco. Ещё одна корпорация, по размаху сопоставимая с Google.

Выбор не особо велик, но для начала неплохо.

Итак, отправляемся в Настройки, ищем где-то в углу маленькую поисковую строку и вводим запрос DNS (поверьте, так проще и в разы быстрее, чем путешествовать по вкладкам и подменю). В графе Поставщик услуг в зависимости от браузера выбираем Персональные настройки или Другой URL, копируем адрес нужного нам DoH-сервиса и сохраняемся. Готово!

Ну а теперь пара слов о том, где взять URL-адрес провайдера DNS:

  • AdGuard:
    — https://dns.adguard.com/dns-query
    — https://dns-family.adguard.com/dns-query
  • CleanBrowsing:
    — https://doh.cleanbrowsing.org/doh/security-filter/
    — https://doh.cleanbrowsing.org/doh/adult-filter/
    — https://doh.cleanbrowsing.org/doh/family-filter/
  • Cloudflare:
    — https://1.1.1.1/dns-query
    — https://cloudflare-dns.com/dns-query
    — https://mozilla.cloudflare-dns.com/dns-query
    — https://security.cloudflare-dns.com/dns-query
    — https://family.cloudflare-dns.com/dns-query
  • Google:
    — https://dns.google/dns-query
  • OpenDNS:
    — https://doh.opendns.com/dns-query
    — https://doh.familyshield.opendns.com/dns-query

Маловато, учитывая, что два из них уже заблокированы, а третий рискует попасть под блокировку в любую минуту. Так что я погуглил и нашёл подробный список DNS over HTTPS. Ну а дальше уже сами решайте, кому из них вы больше доверяете. Я вот пока остановился на OpenDNS, но поглядываю в сторону CleanBrowsing:

  • Security Filter блокирует вредоносные домены (фишинговые сайты, спам и т. п.). При этом сайты для взрослых остаются нетронутыми.
  • Adult Filter блокирует сайты для взрослых. Поисковики и YouTube работают в безопасном режиме. Вредоносные домены блокируются.
  • Family Filter блокирует сайты для взрослых и прокси, которые могут использоваться для обхода блокировки. Поисковики и YouTube работают в безопасном режиме. Вредоносные домены блокируются.

Как убедиться, что DoH работает?

В большинстве случаев убедиться в том, что DoH работает довольно просто: если он не работает, вы просто не сможете открыть ни одного сайта. Если сайты открываются, значит, всё работает, как надо.

Однако некоторые браузеры в случае, если пользовательский сервис DNS over HTTPS недоступен, могут переключаться на DoH по умолчанию. Так что, если ваш DoH попадёт под блокировку, вы этого даже не заметите. Поэтому лучше убедиться в доступности выбранного сервиса самостоятельно:

  • открываем сайт DNS Leak Test
  • жмём кнопку Extended Test
  • ждём

Если всё прошло, как надо, в графе ISP вы увидите название выбранного вами DNS over HTTPS. Ну а если что-то пошло не так, вы, скорее всего, увидите название вашего провайдера.

Надеюсь, кому-то эта информация будет полезна. Ну а если шарите и есть какие-то советы по этому поводу, комментарии открыты. Не стесняйтесь. Теперь мы все в одной лодке.

1 августа 2022 г.

Comment