Провайдер видит каждый сайт, который вы открываете. Как включить зашифрованный DNS за две минуты

Когда вводите адрес сайта, устройство сначала обращается к DNS: этот сервер подсказывает, какой IP-адрес соответствует имени вроде example.com. Долгое время такой запрос уходил по сети без шифрования. Его мог увидеть провайдер, администратор сети или атакующий в небезопасной локальной сети. HTTPS давно шифрует содержимое соединения с сайтом, но DNS-запрос перед ним часто оставался открытым.

Зашифрованный DNS закрывает часть этой проблемы: запрос больше не идёт открытым текстом через локальную сеть и провайдера доступа. Обычно это работает по схеме DNS поверх HTTPS (DoH) или DNS поверх TLS (DoT). Но доверие не исчезает — оно переносится к выбранному DNS-провайдеру. Cloudflare, Google или любой другой резолвер обрабатывают ваши запросы и видят, какие домены вы запрашиваете. Выбор резолвера равен выбору нового наблюдателя — просто другого.

Полезнее всего думать о зашифрованном DNS как о базовой сетевой гигиене. Он не заменяет VPN, не скрывает IP-адрес от сайта и не делает браузинг анонимным. Но он убирает старую привычку интернета отправлять DNS-запросы в открытом виде.

Что именно защищает зашифрованный DNS

Если включить DoH или DoT, локальной сети и провайдеру становится сложнее читать и подменять DNS-запросы. Microsoft прямо указывает, что DNS поверх HTTPS помогает защититься от прослушивания, атак «человек посередине» и несанкционированного анализа запросов.

Важно понимать, что именно остаётся видимым после включения зашифрованного DNS. Сайт получает ваш IP-адрес — иначе не смог бы отправить ответ. Провайдер видит факт выхода в интернет и IP-адреса серверов, к которым идёт трафик. В части TLS-соединений имя сайта может проявляться в метаданных начального обмена через поле SNI. Технология Encrypted Client Hello должна закрывать эту утечку, но поддержка зависит от конкретного сайта, браузера и инфраструктуры. В России уже фиксировали блокировки соединений, связанных с Cloudflare ECH, поэтому рассчитывать на ECH как на стабильный слой приватности пока не стоит.

Разница между тремя инструментами:

• зашифрованный DNS скрывает DNS-запросы от локальной сети и провайдера доступа;
• HTTPS шифрует содержимое соединения с сайтом;
• VPN меняет маршрут трафика и закрывает значительно больше данных, чем один DNS.

Если нужно скрыть от провайдера маршрут к конечным серверам или сменить видимый IP-адрес — это задача VPN или Tor, а не DNS.

Какой вариант лучше: в системе или в браузере

Системная настройка предпочтительнее. Тогда зашифрованный DNS получают не только браузер, но и другие программы, которые используют системный резолвер. На Windows и Android такой путь особенно удобен: настройка встроена и включается без лишнего софта.

Браузерный вариант выручает, когда менять системные параметры нельзя или неудобно — например, на рабочем компьютере с ограниченными правами. Защиту можно включить прямо в Chrome, Edge, Firefox или Яндекс Браузере.

Порядок выбора:

1. есть системная настройка — включать там;
2. системная настройка недоступна — включать в браузере;
3. нужен iPhone без ручной возни — приложение проверенного DNS-провайдера, оно устанавливает профиль и защищает трафик всего устройства.

Как включить на Android

На Android самый быстрый путь — через системный Private DNS. Android 9 и выше поддерживает DoT через Private DNS. На большинстве смартфонов нужный пункт найдётся через поиск по слову «DNS» в настройках.

Обычный путь: Настройки → Сеть и интернет → Персональный DNS (или Частный DNS). Здесь важно не оставлять режим «Автоматически», если нужна предсказуемая защита: в этом режиме Android пытается использовать DoT, но при отсутствии поддержки со стороны сети может вернуться к обычному незашифрованному DNS. Выбирайте «Имя хоста провайдера DNS» и вводите адрес сервера вручную.

Практичные адреса для ввода:

• one.one.one.one — Cloudflare 1.1.1.1;
• security.cloudflare-dns.com — Cloudflare с фильтрацией вредоносных сайтов;
• dns.google — Google Public DNS;
• dns.quad9.net — Quad9 с блокировкой вредоносных доменов;
• common.dot.dns.yandex.net — Яндекс DNS базовый;
• safe.dot.dns.yandex.net — Яндекс DNS с защитой от вредоносных сайтов.

Важная оговорка: часть приложений использует собственный DNS-клиент и обходит системный резолвер. Google в документации для разработчиков отдельно предупреждает об этом. Системная настройка защищает большинство трафика, но не весь.

Как включить в Windows 11

В Windows 11 настройка DNS поверх HTTPS встроена в сетевые параметры. Путь: Параметры → Сеть и интернет → Wi-Fi или Ethernet → свойства подключения → Назначение DNS-сервера → Изменить.

Задайте числовые адреса серверов с поддержкой DoH: Cloudflare (1.1.1.1 и 1.0.0.1), Google (8.8.8.8 и 8.8.4.4) или Quad9 (9.9.9.9 и 149.112.112.112). После ввода адреса Windows предложит выбрать режим шифрования. Выбирайте «Только шифрованный», а не «Шифрованный или обычный текст»: второй вариант разрешает откат на незашифрованный DNS при проблемах с соединением — удобно, но снижает защиту.

Если на компьютере рабочие политики, антивирус с сетевой фильтрацией или родительский контроль — сначала проверьте, не управляется ли устройство организацией. В корпоративных сетях DoH может ломать внутренние адреса.

Как включить в Chrome, Edge, Firefox и Яндекс Браузере

В Chrome нужный переключатель называется «Использовать безопасный DNS». Путь: Настройки → Конфиденциальность и безопасность → Безопасность → Использовать безопасный DNS. Можно оставить текущего провайдера или вручную выбрать другой сервис.

В Microsoft Edge маршрут почти тот же: Настройки → Конфиденциальность, поиск и службы → Безопасность → Использовать безопасный DNS. В Firefox настройка находится в параметрах сети. В Яндекс Браузере DoH включается в разделе безопасности браузера.

Браузерный вариант полезен в двух случаях: нельзя менять системные настройки или нужно быстро проверить работу DoH без изменений в системе.

Что делать на iPhone и iPad

iOS поддерживает DoH и DoT, но системной настройки с одним переключателем нет. Проще всего приложение Cloudflare 1.1.1.1: оно создаёт профиль VPN-типа и шифрует DNS-запросы на уровне всего устройства.

Важный момент: приложение по умолчанию включает режим WARP — это уже VPN-подобная защита, а не просто зашифрованный DNS. Если нужен только DoH, нужно явно выбрать режим «DNS only» внутри приложения. Иначе включится не тот инструмент.

Без приложения можно использовать готовый профиль конфигурации от провайдера через раздел DNS в системных настройках — но для рядового пользователя это больше ручных действий без очевидного выигрыша.

Какой DNS-провайдер выбрать

На что смотреть при выборе: юрисдикция и законодательство страны провайдера, политика хранения логов и наличие независимого аудита, фильтрация контента (есть ли она и можно ли отключить), скорость из вашей сети, риск ложных блокировок.

• Cloudflare 1.1.1.1 — удобное приложение для iOS и Android, серверы в разных регионах, регулярные отчёты о прозрачности, зарегистрирован в США. Дополнительные адреса для фильтрации: 1.1.1.2 / 1.0.0.2 (блокировка вредоносных сайтов), 1.1.1.3 / 1.0.0.3 (вредоносные и контент для взрослых).
• Google Public DNS — публичный резолвер с широкой совместимостью и понятной документацией, зарегистрирован в США.
• Quad9 — некоммерческая организация, зарегистрирована в Швейцарии, акцент на блокировку вредоносных доменов.
• AdGuard DNS — гибкая фильтрация, настройка через личный кабинет, русскоязычный интерфейс.

Для российской аудитории также актуальны NextDNS с настраиваемой фильтрацией и Яндекс DNS с тремя режимами — базовым, безопасным и семейным. Конкретные условия хранения данных — на странице политики конфиденциальности каждого сервиса.

Как проверить, что защита включилась

После настройки не всегда очевидно, работает ли шифрование или система откатилась на обычный DNS. Для Cloudflare есть диагностическая страница 1.1.1.1/help: она покажет, идут ли запросы через DoH, DoT или WARP. Для других провайдеров используйте проверочный инструмент или инструкцию самого сервиса.

Косвенный признак проблемы: после включения настройки перестали открываться внутренние адреса корпоративной сети или не появляется страница авторизации в публичном Wi-Fi. Что делать в таких случаях — в разделе ниже.

Когда зашифрованный DNS может мешать

Корпоративные сети и captive portal. В офисной сети DoH и DoT могут ломать внутренние адреса, корпоративные фильтры и разделённый DNS. В гостиницах, аэропортах и кафе зашифрованный DNS иногда мешает появиться странице авторизации Wi-Fi. В таких случаях разумно временно вернуть автоматический режим именно для этой сети.

Российские сети. DoT работает на порту 853, который легко отличить от обычного HTTPS-трафика и заблокировать. DoH идёт поверх HTTPS и обычно использует порт 443, поэтому его сложнее отличить от обычного веб-трафика — но DNS-сервис всё равно можно блокировать по IP-адресам, доменам и другим сетевым признакам. Если выбранный провайдер перестал отвечать — попробуйте сменить сервер или перейти с DoT на DoH.

Firefox в ряде конфигураций самостоятельно отключает DoH при обнаружении корпоративных политик или сигнала от сети не использовать защищённый DNS. На Android и Windows этого не происходит автоматически — придётся переключить вручную.

Где реально помогает, а где нет

Зашифрованный DNS особенно полезен в публичном Wi-Fi: в гостиницах, кафе, аэропортах и любых сетях, которым вы не доверяете. Там он закрывает самый банальный риск — тихое чтение и подмену DNS-запросов на уровне сети. Дома тоже имеет смысл: убирает лишнюю прозрачность для провайдера.

Но ждать слишком многого не стоит. Если сайт открывается по HTTPS, зашифрованный DNS не заменяет сам HTTPS. Если устройство заражено — не спасёт. Если нужно скрыть от провайдера маршрут к конечным серверам или сменить видимый IP-адрес — это задача VPN или Tor, а не DNS.

FAQ