DNS часто называют телефонной книгой интернета, и это сравнение до сих пор работает. Когда пользователь вводит адрес сайта, устройство в первую очередь пытается понять, какой IP-адрес стоит за доменным именем. Этим занимается DNS-резолвер, обычно у провайдера или у публичного сервиса. Проблема в том, что классический DNS десятилетиями жил в мире, где «быстро» было важнее, чем «конфиденциально». Запросы часто передавались без шифрования, а значит их могли подсмотреть, подменить или использовать для профилирования.
Отсюда и выросли два близких, но не одинаковых понятия. Зашифрованный DNS означает, что канал доставки DNS-запросов от устройства до резолвера защищён криптографией. Secure DNS шире, это попытка сделать весь процесс разрешения имён более устойчивым к подделкам, утечкам и «творчеству» посредников. В эту картину входят и политики резолвера, и защита от подмены, и соблюдение стандартов. Шифрование не решает все проблемы сразу, но заметно усложняет перехват и манипуляции на пути запроса.
Сегодня чаще всего обсуждают два стандарта, DNS over HTTPS и DNS over TLS. Они похожи тем, что шифруют трафик между клиентом и резолвером, но отличаются транспортом, интеграцией в сети и тем, как их видит инфраструктура. Ниже разбор без магии и без обещаний «полной анонимности», потому что DNS и приватность — это всегда набор компромиссов.
Почему обычный DNS уязвим и что именно защищают DoH и DoT
Классический DNS обычно работает поверх UDP на порту 53. Это удобно и быстро, но по умолчанию не даёт ни шифрования, ни целостности. Провайдер, Wi-Fi в отеле, корпоративный прокси или кто угодно на маршруте может увидеть, какие домены запрашиваются, и в ряде случаев вмешаться. Самый простой сценарий — это подмена ответа и редирект на фишинговый ресурс. Более «мягкий» сценарий — это внедрение фильтрации или переписывание ответов для рекламных страниц.
DoH и DoT решают конкретную задачу: защищают канал от клиента до DNS-резолвера. Содержание запроса и ответа шифруется, а подмена по пути становится существенно сложнее. Это не отменяет того факта, что сам резолвер видит запросы. Поэтому доверие смещается от провайдера к выбранному DNS-поставщику, и это важно осознавать до того, как включать «безопасный» переключатель в браузере.
Отдельно стоит упомянуть, что DoH и DoT не являются заменой DNSSEC. DNSSEC защищает целостность данных зоны и позволяет проверять подписи ответов, но не шифрует канал. В идеальном мире используется и то, и другое, потому что это разные уровни защиты.
DNS over TLS: как работает и чем хорош
DNS over TLS, он же DoT, упаковывает DNS в TLS-сессию. В результате запросы идут по TCP, обычно на порт 853. Для сети это выглядит довольно прозрачно: «вот TLS для DNS, вот его порт». Именно поэтому DoT часто нравится администраторам, которым важна управляемость. Трафик проще классифицировать, проще пропускать по правилам и проще анализировать на уровне метаданных без просмотра содержимого.
Типичный сценарий DoT — это настройка на уровне операционной системы, роутера или мобильного профиля, чтобы шифрование работало для всех приложений. В некоторых сетях DoT блокируют проще, чем DoH, именно из-за выделенного порта. Но это же свойство делает DoT удобным в корпоративных средах, где политика безопасности должна быть предсказуемой, а не «прячущейся» внутри обычного веб-трафика.
Технически DoT использует нормальный TLS с проверкой сертификата, а значит у клиента появляется понятная модель доверия. Если резолвер заявляет одно имя, а сертификат у него другое, соединение можно отклонить. Это не панацея, но это надёжнее, чем старый UDP, который верит всему, что прилетело первым.
DNS over HTTPS: как работает и почему его так много в браузерах
DNS over HTTPS, он же DoH, отправляет DNS-запросы внутри HTTPS. Это тот же TLS, но поверх HTTP, обычно по порту 443. Из-за этого DoH легко «сливается» с обычным веб-трафиком, и сетевой инфраструктуре сложнее отличить его от прочих HTTPS-запросов. Для пользователя это часто плюс, потому что перехватить или точечно заблокировать становится труднее. Для администратора это иногда минус, потому что усложняется контроль и диагностика.
DoH активно встраивают браузеры. Логика простая: браузер хочет гарантировать предсказуемый резолвинг хотя бы для собственных запросов, особенно в публичных сетях. Но есть нюанс. Если браузер использует свой DoH-резолвер, а система настроена на другой, может получиться два параллельных мира. Диагностика становится веселее, а политики компании могут быть обойдены «случайно», без злого умысла.
У DoH есть и практический бонус: он хорошо работает в сетях, где порт 853 закрыт, а 443 открыт почти всегда. Поэтому DoH часто выигрывает по доступности. При этом по криптографии DoH и DoT сопоставимы, разница в основном в транспортном слое и в том, как это вписывается в инфраструктуру.
Плюсы, минусы и здравые сценарии использования
Главный плюс зашифрованного DNS — это снижение риска перехвата и подмены на пути от клиента до резолвера. Это полезно в публичных Wi-Fi, в поездках, в сетях с агрессивной «оптимизацией» трафика. Ещё один плюс — это меньше возможностей для массового пассивного наблюдения на уровне локальной сети. В некоторых случаях это даёт и более стабильный доступ к ресурсам, если раньше DNS «ломали» посредники.
Главный минус в том, что доверие концентрируется у DNS-поставщика. Он видит домены, время, частоту запросов и может связать их с IP-адресом. Поэтому выбор резолвера — это не мелочь. Хорошим примером того, как непросто поддерживать независимый сервис с упором на приватность, стала история европейского DNS0.EU, закрывшегося из-за нехватки ресурсов. И ещё один минус — это конфликт с корпоративными и родительскими политиками. Если безопасность построена на DNS-фильтрации, переход на сторонний DoH может разрушить задумку, а затем начнётся спор, кто «виноват» — пользователь или архитектура.
Здравый подход обычно такой. Для домашнего использования DoH или DoT имеет смысл, если выбран резолвер с понятной политикой приватности и хорошей репутацией. Для компаний чаще подходит DoT или управляемый DoH через корпоративные профили, чтобы сохранять контроль. И почти всегда полезно включать в резолвере валидацию DNSSEC, если она доступна.
Для проверки удобны простые инструменты. Можно посмотреть, какие резолверы реально используются, через тест DNS-утечек или проверить поддержку шифрования и профили сервиса на странице AdGuard DNS. А если хочется первоисточников, стандарты описаны в документах IETF, например RFC 8484 для DoH и RFC 7858 для DoT.
Заключение
Secure DNS и зашифрованный DNS — это не модная наклейка, а вполне практичный ответ на старую проблему. DoH и DoT, по сути, делают одно и то же: защищают DNS-трафик на участке от клиента до резолвера, снижая риск подслушивания и вмешательства в пути. Разница между ними не в «кто безопаснее», а в том, как они живут в сети. DoT проще администрировать и легче распознаётся инфраструктурой. DoH лучше проходит через ограничительные сети и охотно используется браузерами.
При выборе стоит помнить простую вещь. Шифрование переносит точку доверия, но не отменяет её. Поэтому важны политика провайдера DNS, прозрачность логирования и совместимость с нужными правилами безопасности. Если подойти к настройке осознанно, зашифрованный DNS становится аккуратным улучшением базовой гигиены, без драм и без обещаний «абсолютной приватности», которых в интернете, честно говоря, почти не бывает.
