Τι είναι το DNS-Over-HTTPS και πώς να το ενεργοποιήσετε στη συσκευή σας (ή πρόγραμμα περιήγησης)

Κατηγορία: Οδηγοί

Δοκιμάστε Το Όργανο Μας Για Την Εξάλειψη Των Προβλημάτων

Επιλέξτε Το Λειτουργικό Σύστημα Επιλέξτε Ένα Πρόγραμμα Προβολής (Προαιρετικά)

Περιγράψτε Το Πρόβλημά Σας

Το DNS-over-HTTPS (Secure DNS) είναι μια νέα τεχνολογία που στοχεύει να κάνει ασφαλή την περιήγηση στο διαδίκτυο κρυπτογραφώντας την επικοινωνία μεταξύ του υπολογιστή-πελάτη και του διακομιστή DNS.

Αυτό το νέο πρότυπο Διαδικτύου υιοθετείται ευρέως. Η λίστα υιοθεσίας περιλαμβάνει Windows 10 (Έκδοση 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera και Vivaldi για να αναφέρουμε μερικά.

Σε αυτό το άρθρο, θα συζητήσουμε τα πλεονεκτήματα και τα μειονεκτήματα του DNS-over-HTTPS και πώς να ενεργοποιήσετε αυτό το πρωτόκολλο στις συσκευές σας.

Θα συζητήσουμε επίσης πώς να ελέγξετε εάν το DoH είναι ενεργοποιημένο για τις συσκευές σας ή όχι.

Μια απλή εξήγηση του DNS-over-HTTPS και πώς λειτουργεί

Το DNS-over-HTTPS (DoH) είναι ένα πρωτόκολλο για την κρυπτογράφηση ερωτημάτων DNS μεταξύ του υπολογιστή σας και του διακομιστή DNS. Παρουσιάστηκε για πρώτη φορά τον Οκτώβριο του 2018 ( IETF RFC 8484 ) με στόχο την αύξηση της ασφάλειας και της ιδιωτικής ζωής των χρηστών.

Οι παραδοσιακοί διακομιστές DNS χρησιμοποιούν τη θύρα DNS 53 για επικοινωνία, ενώ οι DNS-over-HTTPS κάνουν χρήση της θύρας HTTPS 443 για ασφαλή επικοινωνία με τον πελάτη.

Λάβετε υπόψη ότι παρόλο που το DoH είναι πρωτόκολλο ασφαλείας, δεν εμποδίζει τους παρόχους υπηρεσιών Internet να παρακολουθούν τα αιτήματά σας. Κρυπτογραφεί απλώς τα δεδομένα ερωτήματος DNS μεταξύ του υπολογιστή σας και του ISP για να αποτρέψει ζητήματα όπως η πλαστογραφία, η επίθεση στο μέσο κλπ.

Ας το καταλάβουμε με ένα απλό παράδειγμα.

Δείτε πώς λειτουργεί το DNS:

Εάν θέλετε να ανοίξετε το όνομα τομέα itechtics.com και να το ζητήσετε χρησιμοποιώντας το πρόγραμμα περιήγησής σας.
Το πρόγραμμα περιήγησής σας στέλνει ένα αίτημα στον διακομιστή DNS που έχει διαμορφωθεί στο σύστημά σας, π.χ. 1.1.1.1.
Ο αναδρομικός επιλυτής DNS (1.1.1.1) πηγαίνει στους βασικούς διακομιστές του τομέα ανώτερου επιπέδου (TLD) (.com στην περίπτωσή μας) και ζητά τους διακομιστές ονομάτων του itechtics.com.
Στη συνέχεια, ο διακομιστής DNS (1.1.1.1) πηγαίνει στους διακομιστές ονομάτων του itechtics.com και ζητά τη διεύθυνση IP του ονόματος DNS του itechtics.com.
Ο διακομιστής DNS (1.1.1.1) μεταφέρει αυτές τις πληροφορίες στο πρόγραμμα περιήγησης και το πρόγραμμα περιήγησης συνδέεται στο itechtics.com και λαμβάνει μια απάντηση από τον διακομιστή.

Όλη αυτή η επικοινωνία από τον υπολογιστή σας στον διακομιστή DNS στους διακομιστές TLD DNS στους διακομιστές ονομάτων στον ιστότοπο και πίσω γίνεται με τη μορφή απλών μηνυμάτων κειμένου.

Αυτό σημαίνει ότι ο καθένας μπορεί να παρακολουθεί την επισκεψιμότητα στον ιστό σας και να γνωρίζει εύκολα ποιους ιστότοπους ανοίγετε.

Το DNS-over-HTTPS κρυπτογραφεί όλη την επικοινωνία μεταξύ του υπολογιστή σας και του διακομιστή DNS, καθιστώντας το πιο ασφαλές και λιγότερο επιρρεπές σε επιθέσεις πλαστογράφησης.

Ας το καταλάβουμε με ένα οπτικό παράδειγμα:

Όταν ο πελάτης DNS στέλνει ερωτήματα DNS στον διακομιστή DNS χωρίς χρήση DoH:

Το DNS μέσω HTTPS δεν είναι ενεργοποιημένο

Όταν ένας πελάτης DoH χρησιμοποιεί το πρωτόκολλο DoH για να στείλει κίνηση DNS στον διακομιστή DNS με δυνατότητα DoH:

Το DNS μέσω HTTPS είναι ενεργοποιημένο

Εδώ μπορείτε να δείτε ότι η κίνηση DNS από τον πελάτη στον διακομιστή είναι κρυπτογραφημένη και κανείς δεν γνωρίζει τι έχει ζητήσει ο πελάτης. Η απόκριση DNS από τον διακομιστή είναι επίσης κρυπτογραφημένη.

Πλεονεκτήματα και μειονεκτήματα του DNS-over-HTTPS

Ενώ το DNS-over-HTTPS θα αντικαταστήσει αργά το παλαιό σύστημα DNS, έρχεται με τα δικά του πλεονεκτήματα και πιθανά προβλήματα. Ας συζητήσουμε μερικά από αυτά εδώ.

Το DoH δεν ενεργοποιεί το πλήρες απόρρητο του χρήστη

Το DoH αναφέρεται ως το επόμενο μεγάλο πράγμα στην ιδιωτικότητα και την ασφάλεια των χρηστών, αλλά κατά τη γνώμη μου, εστιάζει μόνο στην ασφάλεια των χρηστών και όχι στην ιδιωτικότητα.

Εάν γνωρίζετε πώς λειτουργεί αυτό το πρωτόκολλο, θα γνωρίζετε ότι το DoH δεν εμποδίζει τους ISP να παρακολουθούν αιτήματα DNS χρηστών.

Ακόμα κι αν ο ISP δεν είναι σε θέση να σας παρακολουθεί χρησιμοποιώντας το DNS επειδή χρησιμοποιείτε διαφορετικό δημόσιο πάροχο DNS, υπάρχουν πολλά σημεία δεδομένων που εξακολουθούν να είναι ανοικτά στους παρόχους για παρακολούθηση. Για παράδειγμα, Πεδία Ένδειξη ονόματος διακομιστή (SNI) και Συνδέσεις Online Certificate Status Protocol (OCSP) και τα λοιπά.

Εάν θέλετε περισσότερη ιδιωτικότητα, θα πρέπει να ελέγξετε άλλες τεχνολογίες όπως DNS-over-TLS (DoT), DNSCurve, DNSCrypt κ.λπ.

Το DoH δεν ισχύει για ερωτήματα HTTP

Εάν ανοίγετε έναν ιστότοπο που δεν λειτουργεί χρησιμοποιώντας SSL, ο διακομιστής DoH θα επιστρέψει στην παλαιά τεχνολογία DNS (DNS-over-HTTP) γνωστή και ως Do53.

Αλλά αν χρησιμοποιείτε παντού ασφαλή επικοινωνία, το DoH είναι σίγουρα καλύτερο από το να χρησιμοποιείτε παλιές και ανασφαλείς τεχνολογίες DNS με γυμνό μέταλλο.

Δεν υποστηρίζουν όλοι οι διακομιστές DNS το DoH

Υπάρχει ένας μεγάλος αριθμός διακομιστών DNS παλαιού τύπου που θα πρέπει να αναβαθμιστούν για να υποστηρίξουν DNS-over-HTTPS. Αυτό θα πάρει πολύ χρόνο για ευρεία υιοθέτηση.

Μέχρι να υποστηριστεί αυτό το πρωτόκολλο από τους περισσότερους διακομιστές DNS, οι περισσότεροι χρήστες θα αναγκαστούν να χρησιμοποιούν τους δημόσιους διακομιστές DNS που προσφέρονται από μεγάλους οργανισμούς.

Αυτό θα οδηγήσει σε περισσότερα ζητήματα απορρήτου καθώς τα περισσότερα από τα δεδομένα DNS θα συλλέγονται σε μερικές κεντρικές τοποθεσίες σε όλο τον κόσμο.

Ένα άλλο μειονέκτημα της έγκαιρης υιοθέτησης του DoH είναι ότι εάν ένας παγκόσμιος διακομιστής DNS χαλάσει, θα απενεργοποιήσει την πλειοψηφία των χρηστών που χρησιμοποιούν τον διακομιστή για την επίλυση ονόματος.

Το DoH θα είναι πονοκέφαλος για τις επιχειρήσεις

Ενώ το DoH θα βελτιώσει την ασφάλεια, θα είναι ένας πονοκέφαλος για τις επιχειρήσεις και τους οργανισμούς που παρακολουθούν τις δραστηριότητες των εργαζομένων τους και χρησιμοποιούν εργαλεία για να αποκλείσουν τμήματα NSFW (μη ασφαλή για εργασία) στον ιστό.

Οι διαχειριστές δικτύου και συστήματος θα δυσκολευτούν να αντιμετωπίσουν το νέο πρωτόκολλο.

Η χρήση DNS-over-HTTPS επιβραδύνει την περιήγηση;

Υπάρχουν δύο πτυχές του DoH που πρέπει να αναζητήσετε κατά τη δοκιμή της απόδοσης έναντι του παλαιού τύπου πρωτοκόλλου Do53:

Απόδοση ανάλυσης ονόματος
Απόδοση φόρτωσης ιστοσελίδας

Η απόδοση ανάλυσης ονομάτων είναι η μέτρηση που χρησιμοποιούμε για τον υπολογισμό του χρόνου που χρειάζεται ο διακομιστής DNS για να μας δώσει την απαιτούμενη διεύθυνση IP διακομιστή της ιστοσελίδας που θέλουμε να επισκεφτούμε.

Η απόδοση φόρτωσης ιστοσελίδων είναι η πραγματική μέτρηση για το αν αισθανόμαστε επιβράδυνση κατά την περιήγηση στο Διαδίκτυο χρησιμοποιώντας πρωτόκολλο DNS-over-HTTPS.

Και οι δύο αυτές δοκιμές πραγματοποιήθηκαν από samknows και το τελικό αποτέλεσμα είναι ότι υπάρχει αμελητέα διαφορά στην απόδοση μεταξύ του DNS-over-HTTPS και των παλαιών πρωτοκόλλων Do53.

Μπορείτε να διαβάσετε το πλήρης μελέτη περίπτωσης απόδοσης με στατιστικά στοιχεία στο samknows Το

Ακολουθούν οι συνοπτικοί πίνακες για κάθε μέτρηση που ορίσαμε παραπάνω. (Κάντε κλικ στην εικόνα για μεγαλύτερη προβολή)

Δοκιμή απόδοσης ανάλυσης ονόματος Πίνακας επιδόσεων ISP DoH vs Do53

Πίνακας επιδόσεων ISP DoH vs Do53

Δοκιμή απόδοσης φόρτωσης ιστοσελίδας Απόδοση φόρτωσης ιστοσελίδας DoH vs Do53

Απόδοση φόρτωσης ιστοσελίδας DoH vs Do53

Πώς να ενεργοποιήσετε ή να απενεργοποιήσετε το DNS-over-HTTPS στα Windows 10

Windows 10 Έκδοση 2004 θα έρθει με DNS-over-HTTPS ενεργοποιημένη από προεπιλογή. Έτσι, μόλις κυκλοφορήσει η επόμενη έκδοση των Windows 10 και αναβαθμίσετε στην τελευταία έκδοση, δεν θα χρειαστεί να ενεργοποιήσετε το DoH με μη αυτόματο τρόπο.

Ωστόσο, εάν χρησιμοποιείτε Windows 10 Insider Preview, θα χρειαστεί να ενεργοποιήσετε το DoH μη αυτόματα χρησιμοποιώντας τις ακόλουθες μεθόδους:

Χρήση μητρώου των Windows

Παω σε Εκτέλεση -> regedit Το Αυτό θα ανοίξει τον Επεξεργαστή μητρώου των Windows.
Ανοίξτε το ακόλουθο κλειδί μητρώου:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
Κάντε δεξί κλικ στο Παράμετροι φάκελο και επιλέξτε Νέο-> DWORD (32-bit) Αξία.
Ονόμασέ το EnableAutoDoh Το
Ορίστε την τιμή της καταχώρησης EnableAutoDoh σε 2 Το

Θα χρειαστεί να κάνετε επανεκκίνηση του υπολογιστή για να ισχύσουν οι αλλαγές.

Λάβετε υπόψη ότι αυτή η αλλαγή θα ισχύει μόνο όταν χρησιμοποιείτε τους διακομιστές DNS που υποστηρίζουν DNS-over-HTTPS. Παρακάτω θα βρείτε ένα λίστα δημόσιων παρόχων DNS που υποστηρίζουν το DoH Το

Οι προηγούμενες εκδόσεις των Windows 10, συμπεριλαμβανομένων των εκδόσεων 1909 και 1903, δεν υποστηρίζουν το DoH από προεπιλογή.

Χρήση πολιτικής ομάδας

Κρατάω αυτό το τμήμα για μελλοντική χρήση. Προς το παρόν, δεν υπάρχουν κανόνες πολιτικής ομάδας για DNS-over-HTTPS. Θα συμπληρώσουμε τα βήματα όταν η Microsoft τα καταστήσει διαθέσιμα για Windows 10 Έκδοση 2004.

Χρήση του PowerShell (γραμμή εντολών)

Κρατάω αυτό το τμήμα για μελλοντική χρήση. Εάν η Microsoft παρέχει έναν τρόπο ενεργοποίησης ή απενεργοποίησης του DoH χρησιμοποιώντας τη γραμμή εντολών, θα παραθέσουμε τα βήματα εδώ.

Πώς να ενεργοποιήσετε ή να απενεργοποιήσετε το DNS-over-HTTPS στα προγράμματα περιήγησής σας

Ορισμένες εφαρμογές υποστηρίζουν την παράκαμψη του διακομιστή DNS που έχει διαμορφωθεί στο σύστημα και χρησιμοποιούν αντ 'αυτού DNS-over-HTTPS. Σχεδόν όλα τα σύγχρονα προγράμματα περιήγησης είτε υποστηρίζουν ήδη το DoH είτε θα υποστηρίξουν το πρωτόκολλο στο εγγύς μέλλον.

Ενεργοποιήστε το DNS-over-HTTPS στο Google Chrome

Ανοίξτε το Google Chrome και μεταβείτε στην ακόλουθη διεύθυνση URL:
chrome://settings/security
Υπό Προηγμένη ασφάλεια , εναλλαγή Χρησιμοποιήστε ασφαλές DNS Το
Αφού ενεργοποιήσετε το ασφαλές DNS, θα υπάρχουν δύο επιλογές:
- Με τον τρέχοντα πάροχο υπηρεσιών σας
- Με τους προτεινόμενους παρόχους υπηρεσιών της Google

Μπορείτε να επιλέξετε ό, τι σας ταιριάζει. Η δεύτερη επιλογή θα υπερβεί τις ρυθμίσεις DNS του συστήματός σας.

Ενεργοποιήστε το ασφαλές DNS στο Google Chrome

Για να απενεργοποιήσετε το DoH, απλώς εναλλάξτε το Χρησιμοποιήστε ασφαλές DNS ρυθμίσεις σε μακριά από Το

Ενεργοποιήστε το DNS-over-HTTPS στο Mozilla Firefox

Ανοίξτε τον Firefox και μεταβείτε στην ακόλουθη διεύθυνση URL:
about:preferences
Υπό γενικός , παω σε Ρυθμίσεις δικτύου και κάντε κλικ στο Ρυθμίσεις κουμπί. Or απλά πατήστε το ΚΑΙ πλήκτρο πληκτρολογίου για να ανοίξετε τις ρυθμίσεις.
Μετακινηθείτε προς τα κάτω και έλεγχος Ενεργοποίηση DNS μέσω HTTPS Το
Από το αναπτυσσόμενο μενού, μπορείτε να επιλέξετε τον ασφαλή διακομιστή DNS που προτιμάτε.

Ενεργοποιήστε το DNS-over-HTTPS στο Microsoft Edge

Ανοίξτε το Microsoft Edge και μεταβείτε στην ακόλουθη διεύθυνση URL:
edge://flags/#dns-over-https
Επιλέγω Ενεργοποιημένο από το αναπτυσσόμενο μενού δίπλα Ασφαλείς αναζητήσεις DNS Το
Επανεκκινήστε το πρόγραμμα περιήγησης για να ισχύσουν οι αλλαγές.

Ενεργοποιήστε το DNS-over-HTTPS στο πρόγραμμα περιήγησης Opera

Ανοίξτε το πρόγραμμα περιήγησης Opera και μεταβείτε στις Ρυθμίσεις (Alt + P).
Επεκτείνουν Προχωρημένος στο αριστερό μενού.
Κάτω από το σύστημα, εναλλαγή Χρησιμοποιήστε DNS-over-HTTPS αντί για τις ρυθμίσεις DNS του συστήματος Το
Επανεκκινήστε το πρόγραμμα περιήγησης για να ισχύσουν οι αλλαγές.

Οι ασφαλείς ρυθμίσεις DNS δεν τέθηκαν σε ισχύ μέχρι να απενεργοποιήσω την ενσωματωμένη υπηρεσία VPN της Opera. Εάν αντιμετωπίζετε προβλήματα με την ενεργοποίηση του DoH στο Opera, δοκιμάστε να απενεργοποιήσετε το VPN.

Ενεργοποιήστε το DNS-over-HTTPS στο πρόγραμμα περιήγησης Vivaldi

Ανοίξτε το πρόγραμμα περιήγησης Vivaldi και μεταβείτε στην ακόλουθη διεύθυνση URL:
vivaldi://flags/#dns-over-https
Επιλέγω Ενεργοποιημένο από το αναπτυσσόμενο μενού δίπλα Ασφαλείς αναζητήσεις DNS Το
Επανεκκινήστε το πρόγραμμα περιήγησης για να ισχύσουν οι αλλαγές.

Πώς να ενεργοποιήσετε το DNS-over-HTTPS στο Android

Το Android 9 Pie υποστηρίζει ρυθμίσεις DoH. Μπορείτε να ακολουθήσετε τα παρακάτω βήματα για να ενεργοποιήσετε το DoH στο τηλέφωνό σας Android:

Παω σε Ρυθμίσεις → Δίκτυο και Διαδίκτυο → Προηγμένο → Ιδιωτικό DNS Το
Μπορείτε είτε να ορίσετε αυτήν την επιλογή σε Αυτόματο είτε μπορείτε να καθορίσετε μόνοι σας έναν ασφαλή πάροχο DNS.

Εάν δεν μπορείτε να βρείτε αυτές τις ρυθμίσεις στο τηλέφωνό σας, μπορείτε να ακολουθήσετε τα παρακάτω βήματα:

Κατεβάστε και ανοίξτε την εφαρμογή QuickShortcutMaker από το Google Play Store.
Μεταβείτε στις Ρυθμίσεις και πατήστε:
com.android.settings.Settings$NetworkDashboardActivity

Αυτό θα σας μεταφέρει απευθείας στη σελίδα ρυθμίσεων δικτύου, όπου θα βρείτε την ασφαλή επιλογή DNS.

Πώς ελέγχετε αν χρησιμοποιείτε DNS-over-HTTPS;

Υπάρχουν δύο τρόποι για να ελέγξετε εάν το DoH είναι σωστά ενεργοποιημένο για τη συσκευή σας ή το πρόγραμμα περιήγησης.

Ο ευκολότερος τρόπος για να το ελέγξετε είναι να μεταβείτε στο αυτή η σελίδα ελέγχου εμπειρίας περιήγησης στο cloudflare Το Κάντε κλικ στο Ελέγξτε το πρόγραμμα περιήγησής μου κουμπί.

Στο πλαίσιο Secure DNS, θα λάβετε το ακόλουθο μήνυμα εάν χρησιμοποιείτε το DoH: | _+_ |

Αν δεν χρησιμοποιείτε το DoH, θα λάβετε το ακόλουθο μήνυμα: | _+_ |

Τα Windows 10 Έκδοση 2004 παρέχουν επίσης έναν τρόπο παρακολούθησης των πακέτων θύρας 53 σε πραγματικό χρόνο. Αυτό θα μας πει εάν το σύστημα χρησιμοποιεί DNS-over-HTTPS ή το παλαιού τύπου Do53.

Ανοίξτε το PowerShell με δικαιώματα διαχειριστή.
Εκτελέστε τις ακόλουθες εντολές:
pktmon filter remove
Αυτό αφαιρεί όλα τα ενεργά φίλτρα, εάν υπάρχουν.
pktmon filter add -p 53
Αυτό προσθέτει τη θύρα 53 για παρακολούθηση και καταγραφή.
pktmon start --etw -m real-time
Αυτό ξεκινά με την παρακολούθηση σε πραγματικό χρόνο της θύρας 53.

Εάν βλέπετε πολλή επισκεψιμότητα να εμφανίζεται στη λίστα, αυτό σημαίνει ότι το παλαιό Do53 χρησιμοποιείται αντί του DoH.

Λάβετε υπόψη ότι οι παραπάνω εντολές θα λειτουργούν μόνο στα Windows 10 Έκδοση 2004. Διαφορετικά, θα σας εμφανίσει σφάλμα: Άγνωστη παράμετρος «σε πραγματικό χρόνο»

Λίστα διακομιστών ονομάτων που υποστηρίζουν το DoH

Ακολουθεί η λίστα των παρόχων υπηρεσιών DNS που υποστηρίζουν DNS-over-HTTPS.

Προμηθευτής	Όνομα κεντρικού υπολογιστή	Διεύθυνση IP
AdGuard	dns.adguard.com	176,103,130,132 176,103,130,134
AdGuard	dns-family.adguard.com	176,103,130,132 176,103,130,134
CleanBrowsing	family-filter-dns.cleanbrowsing.org	185,228,168,168 185,228,169,168
CleanBrowsing	adult-filter-dns.cleanbrowsing.org	185.228.168.10 185.228.169.11
Cloudflare	one.one.one.one 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Cloudflare	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Cloudflare	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
NextDNS	dns.nextdns.io	45.90.28.0 45.90.30.0
OpenDNS	dns.opendns.com	208.67.222.222 208.67.220.220
OpenDNS	familyshield.opendns.com	208.67.222.123 208.67.220.123
OpenDNS	sandbox.opendns.com	208.67.222.2 208.67.220.2
Quad9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149,112,112,112

Παρόλο που το DNS-over-HTTPS κάνει τον ιστό πιο ασφαλή και πρέπει να εφαρμόζεται ομοιόμορφα σε όλο τον ιστό (όπως στην περίπτωση του HTTPS), αυτό το πρωτόκολλο πρόκειται να δώσει εφιάλτες στους sysadmins.

Οι Sysadmins πρέπει να βρουν τρόπους για να αποκλείσουν δημόσιες υπηρεσίες DNS, επιτρέποντας στους εσωτερικούς διακομιστές DNS τους να χρησιμοποιούν το DoH. Αυτό πρέπει να γίνει για να διατηρηθεί ενεργός ο τρέχων εξοπλισμός παρακολούθησης και οι πολιτικές περιορισμού σε ολόκληρο τον οργανισμό.

Αν έχω χάσει κάτι στο άρθρο, ενημερώστε με στα παρακάτω σχόλια. Εάν σας άρεσε το άρθρο και μάθατε κάτι νέο, μοιραστείτε το με τους φίλους σας και στα κοινωνικά μέσα και εγγραφείτε στο newsletter μας.