DoH и DoT полезны, но вокруг них слишком много лишнего пафоса. Шифрованный DNS не делает пользователя невидимым, не заменяет VPN и не превращает браузер в броневик. Зато шифрованный DNS реально закрывает довольно приземленную дыру: обычные DNS-запросы часто уходят по сети открытым текстом, и провайдер, владелец публичного Wi-Fi или любой наблюдатель на пути видит, какие домены запрашивает устройство.
Главная проблема в другом. Пользователь включает «безопасный DNS» в браузере, потом «частный DNS» в системе, потом ставит приложение провайдера DNS, а через час перестают открываться NAS, принтер, внутренний портал компании или страница авторизации в гостинице. Причина почти всегда одна: публичный резолвер не знает о локальных именах, а браузер и система начинают спорить, кто именно должен резолвить адрес.
Что именно делают DoH и DoT
Обе технологии шифруют DNS между устройством и выбранным резолвером. Разница в транспорте. DoH, DNS over HTTPS, встраивает DNS в HTTPS и обычно идет по 443 порту. DoT, DNS over TLS, использует отдельное TLS-соединение и обычно работает на 853 порту. Из-за этого DoH проще смешивается с обычным веб-трафиком, а DoT проще заметить, фильтровать и администрировать. Короткий разбор на SecurityLab хорошо показывает, почему DoH так любят браузеры, а DoT чаще живет на уровне системы и сети.
Ключевой нюанс простой. Шифруется не весь интернет-трафик, а только DNS между клиентом и резолвером. Доверие никуда не исчезает, доверие просто переезжает. Вместо DNS провайдера вы начинаете доверять выбранному публичному резолверу или корпоративному резолверу с поддержкой DoH или DoT.
| Критерий | DoH | DoT |
|---|---|---|
| Как идет трафик | Внутри HTTPS | Отдельный TLS-канал для DNS |
| Типичный порт | 443 | 853 |
| Где встречается чаще | Браузеры, Windows, отдельные приложения | Android, роутеры, системные настройки сети |
| Сильная сторона | Лучше маскируется под обычный HTTPS | Проще логически отделить и администрировать |
| Слабое место | Часто обходит локальные DNS-настройки браузером | Порт 853 нередко режут в офисах и гостевых сетях |
Когда шифрованный DNS действительно стоит включать
На личном ноутбуке и телефоне шифрованный DNS обычно полезен. Особенно в кафе, аэропортах, гостиницах, коворкингах и прочих чужих сетях, где лишний уровень защиты от подмены DNS и пассивного наблюдения не помешает. Если задача простая, защитить повседневные запросы всех приложений, почти всегда лучше начать с системного уровня. Тогда браузер, мессенджер, почтовый клиент и прочие программы живут по одним правилам.
На домашнем устройстве без локальной экзотики логика такая же. Если сеть обычная, без внутренних доменов, самописных роутерных имен и корпоративных туннелей, системный DoH или DoT дает аккуратный, понятный результат. Браузерный DoH тут нужен скорее как запасной вариант, если система не умеет шифрованный DNS или умеет плохо.
Когда DoH и DoT начинают мешать
Проблемы начинаются там, где DNS несет не только «адрес сайта из интернета», но и внутреннюю логику сети. Корпоративные split-DNS-схемы, локальные домены, имена вида nas.lan, printer.office, vpn.company, внутренние зоны Active Directory, captive portal в отеле или вузе, фильтры родительского контроля, MDM-политики, корпоративный VPN, все такие вещи легко ломаются, когда браузер внезапно идет не к системному DNS, а напрямую к публичному DoH-провайдеру.
Типичный сценарий неплохо разобран в таком кейсе. Внутренний ресурс существует только во внутреннем DNS, но браузер спрашивает внешний публичный резолвер. Публичный резолвер честно отвечает «не знаю», а пользователь видит «ничего не работает».
Еще один частый сюрприз, авторизация в публичной сети. Жесткие режимы без отката иногда мешают открыть страницу входа в сеть. Если пользователь сначала включает максимальную строгость, а потом идет в аэропортовый Wi-Fi, можно получить не «приватность», а просто отсутствие интернета.
Браузер или система: что выбрать в нормальной жизни
Лучшее практическое правило очень простое. Если нужно защитить DNS для всех приложений, включайте шифрованный DNS в системе. Если нужно поменять поведение только у браузера, включайте DoH в браузере. Если устройство рабочее, управляется компанией, использует корпоративный VPN, внутренние зоны и внутренние фильтры, не форсируйте публичный DoH в браузере без понимания последствий.
- Личное устройство, обычная сеть, нужен единый режим для всех приложений: системный DoH или DoT.
- Старая система, а менять DNS хочется только в браузере: браузерный DoH.
- Рабочий ноутбук, внутренняя инфраструктура, локальные имена, VPN: сначала системная политика компании, потом эксперименты.
Не стоит включать все уровни подряд «на всякий случай». Двойной слой не дает двойную защиту. Чаще получается два конкурирующих источника DNS-логики.
Как популярные платформы ведут себя в 2026 году
Chrome и другие Chromium-браузеры
В Chrome «Безопасный DNS» обычно включен в автоматическом режиме. Важный нюанс: автоматический режим не строгий. Если у Chrome возникают проблемы с безопасным резолвингом, браузер может откатиться к незашифрованному DNS. Для обычного домашнего пользователя такой режим удобен, потому что меньше поломок. Для человека, которому нужен принципиальный режим «или шифрованный DNS, или никак», такой режим слишком мягкий.
Edge ведет себя похоже и тоже дает отдельную настройку Secure DNS. В корпоративной среде для Chromium-браузеров можно включить и строгий режим без отката, но для домашнего пользователя важнее помнить не название политики, а смысл: в обычном автоматическом режиме браузер старается не ломать сеть, а не любой ценой держать только шифрованный DNS.
Firefox
Firefox в этой теме заметно честнее и прозрачнее. У Firefox есть режимы Off, Default, Increased и Max. В режиме Default браузер сам старается не влезать туда, где DoH явно неуместен: Firefox отключает DoH, когда активны VPN, родительский контроль или корпоративные политики, либо когда сама сеть сообщает, что безопасный DNS использовать не надо. В режиме Max Firefox не уходит молча к системному резолверу. Если защищенный резолвер недоступен или не дает ответ, Firefox показывает предупреждение и уже пользователь решает, что делать дальше.
Windows 11
В Windows 11 шифрованный DNS уже встроен в сетевые настройки. Для выбранного DNS-сервера можно задать DoH с автоматическим или ручным шаблоном, а также отдельно решить, разрешать ли откат в обычный DNS. Если нужен строгий режим без утечек в plaintext, откат лучше выключить. У Windows 10 штатной пользовательской настройки DoH в интерфейсе нет, и тут многие до сих пор путают старые инструкции с актуальной картиной.
Android
На Android системная функция Private DNS давно стала главным практическим вариантом. По сути речь идет о DoT на уровне системы, а не о браузерной надстройке. Такой подход хорош тем, что закрывает сразу все приложения, а не только вкладки браузера. Но есть компромисс: DoT сидит на 853 порту, а значит в некоторых сетях такой трафик режут проще, чем DoH по 443.
Apple, iPhone, iPad и Mac
У Apple картина менее прямолинейная. Для управляемых устройств Apple позволяет настраивать DoH и DoT через DNS Settings payload, то есть через профиль и управление устройством. На личных устройствах отдельной универсальной галки «включить DoH для всей системы» в духе Windows или Android пользователь обычно не получает. На практике шифрованный DNS на iPhone, iPad и Mac чаще приезжает через профиль провайдера, MDM или приложение, которое ставит сетевой или VPN-профиль и переводит систему в режим DNS-only.
Как проверить, что DoH или DoT реально работает
Сначала надо понять, на каком уровне вы вообще проверяете функцию. Проверка в браузере не доказывает, что весь компьютер использует шифрованный DNS. Проверка системы не доказывает, что браузер не переопределил резолвер у себя внутри.
- Если используете Cloudflare, самый быстрый способ, открыть проверочную страницу. Она показывает, пришли ли вы к резолверу Cloudflare, используется ли DoH или DoT и что происходит с подключением в целом.
- В Windows 11 проверьте свойства активного сетевого интерфейса. Там должно быть видно, что для выбранного DNS задан DoH, а настройка отката в plaintext соответствует вашим ожиданиям.
- В Chrome успешное открытие сайтов не доказывает строгую работу DoH. В автоматическом режиме браузер может тихо вернуться к обычному DNS, если защищенный резолвинг дал сбой.
- В Firefox самый наглядный тест дает Max Protection. Если защищенный резолвер недоступен, Firefox не должен молча продолжать через системный DNS. Он покажет предупреждение.
- Самый полезный прикладной тест, попробуйте открыть локальные имена, NAS, принтер, внутренний портал компании. Если после включения браузерного DoH пропали только локальные ресурсы, а публичные сайты живы, почти наверняка браузер обошел локальный DNS и ушел к внешнему резолверу.
Если нужна совсем честная техническая проверка, поможет короткий захват трафика. Для DoT ищите соединение к резолверу на 853 порту. Для DoH, HTTPS-соединение к DNS-провайдеру на 443 порту. Если при этом продолжает регулярно идти DNS на 53 порт, где-то в схеме обычный DNS все еще жив.
Частые ошибки
Первая ошибка, включить кастомный публичный DoH в браузере на рабочем ноутбуке и удивляться, почему перестал открываться внутренний портал. Вторая, считать, что галка в браузере защищает весь компьютер. Третья, включить строгий режим в сети с обязательной веб-авторизацией и потом ругать «сломанный интернет». Четвертая, забыть, что доверие просто сменило адресата: теперь ваши запросы видит не провайдер, а выбранный DNS-провайдер.
Что делать на практике, без лишней теории
Для личного ноутбука и телефона в обычной домашней или публичной сети лучше начать с системного шифрованного DNS. В браузере оставьте штатный режим, если не нужна отдельная политика. Для Firefox, если нужен жесткий контроль и отсутствие тихого отката, подходит Max Protection. Для Windows 11, ручной DoH плюс отключенный fallback. Для Android, Private DNS. Для Apple-устройств, профиль или проверенное приложение, если нужен системный эффект.
Для рабочего ноутбука, корпоративной сети, VPN, локальных доменов и домашней сети с кучей внутренней инфраструктуры действуйте наоборот. Сначала проверяйте, кто должен резолвить внутренние имена, и только потом включайте публичный DoH. Очень часто безопаснее не «усилить все», а не сломать архитектуру, которая уже завязана на внутренний DNS.
Практический вывод простой. На личных устройствах шифрованный DNS обычно стоит включать, лучше на уровне системы. В браузере строгий режим имеет смысл только там, где вы готовы к возможным поломкам и понимаете, кто именно резолвит адреса. Если в сети есть локальные имена, корпоративный VPN, captive portal или MDM-политики, браузерный DoH легко начинает мешать больше, чем помогает.
FAQ
DoH или DoT ускоряют интернет?
Иногда да, но ускорение редко бывает главным эффектом. Осмысленная причина включать DoH или DoT, приватность и защита от подмены DNS на пути.
DoH скрывает, какие сайты я открываю?
DoH скрывает DNS-запросы от провайдера и наблюдателя на пути, но не делает весь трафик анонимным. Адрес назначения, сам факт подключения и другие метаданные никуда автоматически не исчезают.
Можно ли включить и системный DoT, и браузерный DoH сразу?
Можно, но пользы от такого набора обычно меньше, чем кажется. Чаще вы просто создаете две разные логики резолвинга, которые в разных сценариях ведут себя по-разному.
Почему после включения DoH перестал открываться NAS или принтер?
Потому что публичный DNS не знает ваших локальных имен. Обычно такое ломается именно при браузерном DoH с кастомным внешним резолвером.
Какой режим выбрать, если не хочется сюрпризов?
Для большинства людей, системный шифрованный DNS и мягкий браузерный режим по умолчанию. Жесткие режимы без fallback полезны только там, где важнее исключить утечки в обычный DNS, чем сохранить совместимость любой ценой.
Дисклеймер. Используйте DoH и DoT только законно, на своих устройствах и в сетях, где у вас есть право менять настройки. Не применяйте шифрованный DNS для обхода блокировок, корпоративных ограничений, учебных или служебных политик. Для России это особенно важно: проверяйте локальные правила, требования работодателя и условия использования сети, к которой подключаетесь.
