Включение DNS через HTTPS (DoH) в Windows 11

В операционной системе Windows 11 есть возможность использования протокола DNS over HTTPS (в сокращенном виде — DoH) для улучшения конфиденциальности и защите приватности в Интернете. С помощью этой функции вы можете более безопасно просматривать вею-страницы в сети.

DNS через HTTPS — сетевой протокол, предназначенный для шифрования DNS запросов с использованием зашифрованного протокола HTTPS. Эта технология позволяет повысить уровень конфиденциальности, предотвратить отслеживание трафика провайдерами и атаки злоумышленников в промежуточных точках.

Обычные DNS (Domain Name System — система доменных имен) запросы, выполняемые через порт 53, незащищены и записываются в виде обычного текста. Протокол DNS over HTTPS использует встроенные стандарты HTTPS для шифрования запросов. Если злоумышленники получат доступ к вашим зашифрованным DNS-запросам, то они не смогут их прочитать.

Это шифрование защищает вашу активность в Интернете от третьих лиц, включая потенциально злоумышленников и вашего интернет-провайдера. Процесс шифрования, связанный с DoH, может незначительно увеличить использование некоторых системных ресурсов, например, процессора и памяти. На современных компьютерах это увеличение обычно минимально, и оно вряд ли повлияет на производительность системы или удобство использования.

Преимущества повышенной конфиденциальности и безопасности намного перевешивают эти незначительные затраты ресурсов. В некоторых случаях это даже ускорит работу в Интернете, хотя могут быть и минимальные задержки в выполнении запросов.

В чем разница между DNS over HTTPS (DoH) и DNS over TLS (DoT)

Существует похожий протокол DNS over TLS (DoT), который также шифрует трафик. Но каждый тип протокола DNS использует разные порты:

• порт 853 для DNS через TLS;
• порт 443 для DNS через HTTPS.

Хотя интернет-трафик проходящий через DoT зашифрован, системный администратор может увидеть, что какие-то запросы приходят и уходят через порт 853, даже если из-за шифрования будет сложно увидеть их содержимое.

DoH использует тот же порт, что и весь остальной HTTPS-трафик, например для просмотра веб-страниц. Таким образом происходит маскировка под огромными объемами данных HTTPS, входящих и исходящих из сети.

Как включить DNS over HTTPS на ПК

Чтобы использовать шифрование DNS-запросов, эту технологию необходимо включить на компьютере. Вы можете использовать протокол DoH в операционной системе Windows 11 или включить DNS over HTTPS в вашем браузере.

Включенный в Windows DNS over HTTPS функционирует на уровне системы, а это значит, что данный протокол используется во всех приложениях, запущенных на компьютере.

При использовании в конкретном браузере, DoH шифрует только трафик, проходящий через данный интернет-обозреватель. В это время остальные приложения и операционная система Windows не использует этот протокол обмениваясь данными по сети.

Большинство основных браузеров поддерживают DNS-over-HTTPS:

• Google Chrome с версии 83 и выше.
• Microsoft Edge с версии 86 и последующих.
• Mozilla Firefox с версия 62 и новее.

Из этого руководства вы узнаете о том, как настроить DNS over HTTPS в операционной системе Windows 11.

Как включить DNS через HTTPS Windows 11

Сейчас мы рассмотрим, как включить DoH в операционной системе Windows 11, чтобы ваши DNS-запросы зашифрованы и защищены от потенциальных угроз.

Выполните следующие действия:

1. Нажмите на клавиши «Win» + «I».
2. В окне приложения «Параметры» нажмите «Сеть и Интернет» на левой боковой панели.
3. Выберите «Свойства» рядом с именем вашей сети.

При соединении по Wi-Fi нажмите на кнопку свойств соединения, чтобы получить доступ к настройкам.

4. Выберите сеть, которую вы используете в данный момент, если вы подключены к нескольким сетям: «Ethernet» или «Wi-Fi».

Если на вашем компьютере имеются проводные и беспроводные сети, примените предложенные настройки для обоих типов сетей.

5. В опции «Назначение DNS-сервера» нажмите «Изменить».

6. В окне «Изменить настройки DNS» вместо «Автоматически (DHCP)» выберите «Вручную».

7. Выберите один из вариантов протоколов: «IPv4» или «IPv6», включив соответствующий параметр.

IPv4 использует 32-битную систему адресов, ограничивая ее примерно 4,3 миллиардами уникальных IP-адресов, что привело к их нехватке из-за растущего числа интернет-устройств. IPv6 использует 128-битную схему адресации, что значительно расширяет пул адресов и улучшает масштабируемость, безопасность и возможности настройки Интернета.

8. В поле «Предпочтительный DNS-сервер» введите DNS-адрес по вашему выбору, например, «1.1.1.1» Cloudflare.

Этот IP-адрес должен соответствует IPv4, а при использовании IPv6 соответственно вводится следующий адрес Cloudflare «2606:4700:4700::1111».

9. В поле «DNS по протоколу HTTPS» установите «Включено (автоматический шаблон)».
10. В параметре «Дополнительный DNS-сервер», например, введите «1.0.0.1» Cloudflare.
11. В поле «DNS по протоколу HTTPS» выберите «Включено (автоматический шаблон)».
12. Нажмите на кнопку «Сохранить», чтобы применить изменения DNS.

Настройка DNS over HTTPS в Windows 11 завершена. Вы можете проверить настройки DNS-сервера в параметрах сети, где будет указаны соответствующие адресами с зашифрованным статусом.

Бесплатные DNS-серверы для Windows 11

Вы можете установить разные службы для использования DNS через HTTPS в Windows 11. Различные службы DNS предлагают разные функции и производительность, при этом физически ближайшие к вам серверы обычно обеспечивают самый низкий пинг.

Выберите DNS-сервер на основе его политики конфиденциальности, местоположения серверов и показателей производительности. Убедитесь, что адреса DNS-серверов выбранного вами провайдера правильно указаны в настройках вашей системы в соответствии с инструкциями по настройке DoH.

Корпорация Microsoft поддерживает и рекомендует использовать следующие службы с адресами по протоколу IPv4:

DNS	IP-адрес	Имя сервера
Cloudflare	1.1.1.1 1.0.0.1	https://cloudflare-dns.com/dns-query
Google	8.8.8.8 8.8.4.4	https://dns.google/dns-query
Quad9	9.9.9.9 149.112.112.112	https://dns.quad9.net/dns-query

По протоколу IPv6 рекомендованы службы с следующими адресами:

DNS	IP-адрес	Имя сервера
Cloudflare	2606:4700:4700::1111 2606:4700:4700::1001	https://cloudflare-dns.com/dns-query
Google	2001:4860:4860::8888 2001:4860:4860::8844	https://dns.google/dns-query
Quad9	2620:fe::fe 2620:fe::fe:9	https://dns.quad9.net/dns-query

В случае необходимости можете использовать другие альтернативные DNS-сервисы, например, выбрав некоторые из предложенных в этой таблице:

DNS	IP-адрес	Имя сервера
Comms.one	76.76.2.22 2606:1a40::22	https://dns.controld.com/comss
Adguard	94.140.14.14 2a10:50c0::ad1:ff	https://dns.adguard-dns.com
OpenDNS	208.67.222.222 2620:119:35::35	https://doh.opendns.com/dns-query

Например, при использовании Comms.one DNS необходимо сделать следующее:

1. В опции «DNS по протоколу HTTPS» выбрать «Включено (ручной шаблон)».
2. В поле «Предпочтительный DNS-сервер» ввести «76.76.2.22» при использовании протокола IPv4, а при использовании IPv6 соответственно — «2606:1a40::22».
3. В поле «Шаблон DNS по протоколу HTTPS» нужно указать адрес DoH URI для этого сервера «https://dns.controld.com/comss».

Проверка DNS over HTTPS

Далее вам необходимо проверить DNS over HTTPS. Это нужно для того, чтобы убедиться в правильных настройках сервера DNS over HTTPS.

Пройдите шаги:

1. Щелкните правой кнопкой мыши по меню «Пуск».
2. В открывшемся меню выберите «Терминал (Администратор)».
3. В окне PowerShell или командной строки выполните команду, чтобы удалить все фильтры:

pktmon filter remove

4. Затем используйте команду, которая добавляет фильтр для пакетов порта 53, который используется при традиционном DNS:

pktmon filter add -p 53

5. Следующая команда регистрирует пакеты проходящие через порт 53 в режиме реального времени:

pktmon start --etw -m real-time

При использовании DNS over HTTPS вывод должен содержать минимальное число пакетов.

Как вернуться к использованию незашифрованного DNS

Чтобы вернуться к классическому незашифрованному DNS на вашем устройстве с операционной системой Windows 11, снова перейдите к настройкам DNS и в окне «Изменить настройки DNS» выберите параметр «Автоматически (DHCP)», а затем нажмите на кнопку «Сохранить».

Это действие отключает DoH и позволяет вашей сети автоматически выбирать DNS-сервер, который, скорее всего, не будет использовать DNS поверх HTTPS. Это изменение может быть необходимо для определенных сетевых сред или для устранения проблем с подключением, связанных с DNS.

Выводы статьи

Сетевой протокол DNS over HTTPS обеспечивает дополнительный уровень шифрования, повышает уровень приватности и конфиденциальности в Интернете. Вы можете включить DNS over HTTPS (DoH) на уровне операционной системы или в браузере. Включение функции DoH в Windows 11 обеспечивает большую конфиденциальность ваших действий в Интернете, в том числе просмотр веб-страниц.