Обычные DNS-запросы передаются по UDP в открытом виде — провайдер, корпоративная сеть или злоумышленник может видеть, какие сайты вы посещаете. DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT) решают эту проблему, шифруя DNS-трафик.
Сравнение: обычный DNS vs DoH vs DoT
| Параметр | DNS | DoH | DoT |
|---|---|---|---|
| Порт | 53/UDP | 443/TCP | 853/TCP |
| Шифрование | Нет | HTTPS/TLS | TLS |
| Приватность | Низкая | Высокая | Высокая |
| Обход блокировок | Нет | Да (порт 443) | Частично |
| Поддержка браузерами | Всегда | Chrome, Firefox | Только системно |
Публичные DoH-серверы
| Провайдер | URL | Политика логов |
|---|---|---|
| Cloudflare | https://1.1.1.1/dns-query | Без логов |
| https://dns.google/dns-query | Логи 48 ч | |
| Quad9 | https://dns.quad9.net/dns-query | Без логов, блокирует малварь |
| NextDNS | Индивидуальный URL | Настраиваемые логи |
Включение DoH в Firefox
- Настройки → Конфиденциальность и защита
- Прокрутите до «DNS через HTTPS»
- Включите → выберите провайдера (Cloudflare/NextDNS)
Включение DoH в Chrome
- Настройки → Конфиденциальность и безопасность
- Безопасность → Использовать безопасный DNS
- Выберите провайдера или введите свой DoH-URL
Настройка DoH на Linux (systemd-resolved)
# /etc/systemd/resolved.conf
[Resolve]
DNS=1.1.1.1
FallbackDNS=8.8.8.8
DNSOverTLS=yes
systemctl restart systemd-resolved💡 Для повышенной приватности: Используйте Cloudflare 1.1.1.1 (обязуется не продавать данные) или Quad9 (блокирует вредоносные домены автоматически). Избегайте провайдеров, которые монетизируют DNS-запросы.