מהו DNS-over-HTTPS וכיצד ניתן להפעיל אותו במכשיר שלך (או בדפדפן)

• קטגוריה: מדריכים

נסה את הכלי שלנו לביטול בעיות

בחר במערכת ההפעלה Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro בחר תוכנית השלכה (אופציונלית) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

תאר את הבעיה שלך

לקבל תשובה

שלח לי בדוא"ל הצג באתר

DNS-over-HTTPS (Secure DNS) היא טכנולוגיה חדשה שמטרתה להפוך את הגלישה באינטרנט לאבטחה על ידי הצפנת התקשורת בין מחשב הלקוח לבין שרת ה- DNS.

תקן אינטרנט חדש זה מאומץ באופן נרחב. רשימת האימוץ כוללת את Windows 10 (גירסה 2004), אנדרואיד 9 פאי, גוגל כרום, מוזילה פיירפוקס, מיקרוסופט אדג ', אופרה וויוואלדי.

במאמר זה נדון ביתרונות ובחסרונות של DNS-over-HTTPS וכיצד לאפשר פרוטוקול זה במכשירים שלך.

נדון גם כיצד לבדוק אם DoH מופעל עבור המכשירים שלך או לא.

בואו נתחיל. סיכום קצר להתחבא 1 הסבר פשוט על DNS-over-HTTPS וכיצד הוא פועל 2 יתרונות וחסרונות של DNS-over-HTTPS 2.1 DoH אינו מאפשר פרטיות מלאה של המשתמש 2.2 DoH אינו חל על שאילתות HTTP 2.3 לא כל שרתי ה- DNS תומכים ב- DoH 2.4 DoH יהווה כאב ראש לארגונים 3 האם השימוש ב- DNS-over-HTTPS מאט את הגלישה? 4 כיצד להפעיל או להשבית DNS-over-HTTPS ב- Windows 10 4.1 שימוש ברישום Windows 4.2 שימוש במדיניות קבוצתית 4.3 שימוש ב- PowerShell (שורת פקודה) 5 כיצד להפעיל או להשבית DNS-over-HTTPS בדפדפנים שלך 5.1 אפשר DNS-over-HTTPS ב- Google Chrome 5.2 אפשר DNS-over-HTTPS ב- Mozilla Firefox 5.3 אפשר DNS-over-HTTPS ב- Microsoft Edge 5.4 אפשר DNS-over-HTTPS בדפדפן Opera 5.5 אפשר DNS-over-HTTPS בדפדפן Vivaldi 6 כיצד להפעיל DNS-over-HTTPS ב- Android 7 איך אתה בודק אם אתה משתמש ב- DNS-over-HTTPS? 8 רשימת שרתי שמות התומכים ב- DoH

הסבר פשוט על DNS-over-HTTPS וכיצד הוא פועל

DNS-over-HTTPS (DoH) הוא פרוטוקול להצפנת שאילתות DNS בין המחשב שלך לבין שרת ה- DNS. הוא הוצג לראשונה באוקטובר 2018 ( IETF RFC 8484 ) במטרה להגדיל את האבטחה והפרטיות של המשתמשים.

שרתי DNS מסורתיים עושים שימוש ביציאת DNS 53 לתקשורת בעוד DNS-over-HTTPS משתמש ביציאת HTTPS 443 כדי לתקשר בצורה מאובטחת עם הלקוח.

שים לב שלמרות ש- DoH הוא פרוטוקול אבטחה, הוא אינו מונע מספקי שירותי אינטרנט לעקוב אחר הבקשות שלך. הוא פשוט מצפין את נתוני שאילתת ה- DNS בין המחשב שלך לבין ספק האינטרנט כדי למנוע בעיות כמו זיוף, התקפת איש באמצע וכו '.

הבה נבין זאת באמצעות דוגמה פשוטה.

כך פועל DNS:

1. אם אתה רוצה לפתוח את שם הדומיין itechtics.com ולבקש אותו באמצעות הדפדפן שלך.
2. הדפדפן שלך שולח בקשה לשרת ה- DNS שהוגדר במערכת שלך, למשל, 1.1.1.1.
3. פותר ה- DNS רקורסיבי (1.1.1.1) עובר לשרתי הבסיס של הדומיין ברמה העליונה (TLD) (.com במקרה שלנו) ומבקש את שרתי השמות של itechtics.com.
4. לאחר מכן שרת ה- DNS (1.1.1.1) עובר לשרתי השמות של itechtics.com ומבקש את כתובת ה- IP של שם ה- DNS של itechtics.com.
5. שרת ה- DNS (1.1.1.1) נושא מידע זה לדפדפן והדפדפן מתחבר אל itechtics.com ומקבל תגובה מהשרת.

כל התקשורת הזו מהמחשב שלך לשרת ה- DNS לשרתי ה- DNS של ה- TLD לשרתי השמות לאתר ובחזרה מתבצעת בצורה של הודעות טקסט פשוטות.

זה אומר שכל אחד יכול לעקוב אחר תעבורת האינטרנט שלך ולדעת בקלות אילו אתרים אתה פותח.

DNS-over-HTTPS מצפין את כל התקשורת בין המחשב שלך לבין שרת ה- DNS, מה שהופך אותו לאבטח יותר ופחות מועד למתקפות זיוף של אדם באמצע.

הבה נבין זאת באמצעות דוגמה ויזואלית:

כאשר לקוח DNS שולח שאילתות DNS לשרת ה- DNS מבלי להשתמש ב- DoH:

DNS באמצעות HTTPS לא מופעל

כאשר לקוח DoH משתמש בפרוטוקול DoH כדי לשלוח תעבורת DNS לשרת ה- DNS התומך ב- DoH:

מופעל DNS מעל HTTPS

כאן אתה יכול לראות שתעבורת DNS מהלקוח לשרת מוצפנת ואף אחד לא יודע מה הלקוח ביקש. גם תגובת ה- DNS מהשרת מוצפנת.

יתרונות וחסרונות של DNS-over-HTTPS

בעוד DNS-over-HTTPS יחליף לאט לאט את מערכת ה- DNS הישנה, ​​יש לו יתרונות משלו ובעיות אפשריות. בואו נדון בכמה מהם כאן.

DoH אינו מאפשר פרטיות מלאה של המשתמש

DoH נחשב כדבר הגדול הבא בפרטיות ובאבטחת משתמשים, אך לדעתי הוא מתמקד רק באבטחת משתמשים ולא בפרטיות.

אם אתה יודע כיצד פועל פרוטוקול זה, תדע ש- DoH אינו מונע מספקי שירותי אינטרנט לעקוב אחר בקשות DNS של משתמשים.

גם אם ספק שירותי האינטרנט אינו מסוגל לעקוב אחריך באמצעות ה- DNS מכיוון שאתה משתמש בספק DNS ציבורי אחר, יש הרבה נקודות נתונים שעדיין פתוחות בפני ספקי שירותי האינטרנט למעקב. לדוגמה, שדות ציון שם השרת (SNI) ו חיבורי פרוטוקול סטטוס אישור מקוון (OCSP) וכו '

אם אתה רוצה יותר פרטיות, עליך לבדוק טכנולוגיות אחרות כגון DNS-over-TLS (DoT), DNSCurve, DNSCrypt וכו '.

DoH אינו חל על שאילתות HTTP

אם אתה פותח אתר שאינו פועל באמצעות SSL, שרת DoH יחזור לטכנולוגיית ה- DNS הישנה (DNS-over-HTTP) הידועה גם בשם Do53.

אבל אם אתה משתמש בתקשורת מאובטחת בכל מקום, DoH בהחלט עדיף על שימוש בטכנולוגיות ה- DNS הישנות וחסרות הביטחון.

לא כל שרתי ה- DNS תומכים ב- DoH

ישנם מספר רב של שרתי DNS מדור קודם אשר יהיה צורך לשדרג אותם כדי לתמוך ב- DNS-over-HTTPS. זה ייקח הרבה זמן לאימוץ רחב היקף.

עד שפרוטוקול זה נתמך על ידי רוב שרתי ה- DNS, רוב המשתמשים ייאלצו להשתמש בשרתי ה- DNS הציבוריים המוצעים על ידי ארגונים גדולים.

זה יוביל לבעיות פרטיות נוספות מכיוון שרוב נתוני ה- DNS ייאספו בכמה מיקומים מרכזיים ברחבי העולם.

חסרון נוסף של אימוץ מוקדם של DoH הוא שאם שרת DNS גלובלי יירד, הוא יערער את רוב המשתמשים המשתמשים בשרת לצורך רזולוציית שמות.

DoH יהווה כאב ראש לארגונים

למרות ש- DoH ישפר את האבטחה, זה יהיה כאב ראש עבור ארגונים וארגונים שעוקבים אחר פעילויות העובדים שלהם ומשתמשים בכלים לחסימת חלקים מהאינטרנט של NSFW (לא בטוח לעבודה).

מנהלי רשת ומערכות יתקשו להתמודד עם הפרוטוקול החדש.

האם השימוש ב- DNS-over-HTTPS מאט את הגלישה?

יש לבדוק שני היבטים של DoH בעת בדיקת הביצועים מול פרוטוקול Do53 מדור קודם:

1. ביצועי רזולוציית שמות
2. ביצועי טעינת דפי אינטרנט

ביצועי רזולוציית שמות הם המדד בו אנו משתמשים כדי לחשב את הזמן שלוקח לשרת ה- DNS לתת לנו את כתובת ה- IP הנדרשת של האתר של האתר אותו אנו רוצים לבקר.

ביצועי טעינת דפי אינטרנט הם המדד בפועל אם אנו חשים האטה כלשהי כאשר אנו גולשים באינטרנט באמצעות פרוטוקול DNS-over-HTTPS.

שתי הבדיקות הללו בוצעו על ידי סממנים והתוצאה הסופית היא שיש הבדל זניח בביצועים בין DNS-over-HTTPS לבין פרוטוקולי Do53 מדור קודם.

אתה יכול לקרוא את חקר מקרה ביצועים מלא עם נתונים סטטיסטיים על ידוענים .

להלן טבלאות הסיכום של כל מדד שהגדרנו למעלה. (לחצו על התמונה לצפייה גדולה יותר)

בדיקת ביצועי שמות ברזולוציה

טבלת הביצועים של ספקי שירותי האינטרנט של DoH לעומת Do53

בדיקת ביצועי טעינת דף אינטרנט

ביצועי טעינת דפי אינטרנט DoH לעומת Do53

כיצד להפעיל או להשבית DNS-over-HTTPS ב- Windows 10

Windows 10 גירסה 2004 יגיע עם DNS-over-HTTPS מופעל כברירת מחדל. אז ברגע שהגרסה הבאה של Windows 10 תשוחרר ותשדרג לגרסה העדכנית ביותר, לא יהיה צורך להפעיל את DoH באופן ידני.

עם זאת, אם אתה משתמש בתצוגה מקדימה של Windows 10 Insider, יהיה עליך להפעיל את DoH באופן ידני בשיטות הבאות:

שימוש ברישום Windows

1. לך ל הפעל -> regedit . פעולה זו תפתח את עורך הרישום של Windows.
2. פתח את מפתח הרישום הבא:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
3. לחץ לחיצה ימנית על פרמטרים בתיקיה ובחר חדש-> DWORD (32 סיביות) ערך.
4. תן לזה שם אפשר AutoDoh .
5. הגדר את הערך של ערך EnableAutoDoh ל 2 .
   

יהיה עליך להפעיל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

שים לב ששינוי זה ייכנס לתוקף רק כאשר אתה משתמש בשרתי ה- DNS התומכים ב- DNS-over-HTTPS. להלן תמצא א רשימת ספקי DNS ציבוריים התומכים ב- DoH .

גרסאות קודמות של Windows 10 כולל גירסה 1909 ו- 1903 אינן תומכות ב- DoH כברירת מחדל.

שימוש במדיניות קבוצתית

אני שומר את הסעיף הזה לשימוש עתידי. כרגע, אין כללי מדיניות קבוצתית עבור DNS-over-HTTPS. נמלא את השלבים כאשר מיקרוסופט תעשה אותם זמינים עבור Windows 10 גירסה 2004.

שימוש ב- PowerShell (שורת פקודה)

אני שומר את הסעיף הזה לשימוש עתידי. אם מיקרוסופט מספקת דרך להפעיל או להשבית את DoH באמצעות שורת הפקודה, נפרט את השלבים כאן.

כיצד להפעיל או להשבית DNS-over-HTTPS בדפדפנים שלך

חלק מהיישומים תומכים בעקיפת שרת ה- DNS המוגדר על ידי המערכת ומשתמשים במקום ב- DNS-over-HTTPS. כמעט כל הדפדפנים המודרניים כבר תומכים ב- DoH או שיתמכו בפרוטוקול בעתיד הקרוב.

אפשר DNS-over-HTTPS ב- Google Chrome

1. פתח את Google Chrome ועבור לכתובת האתר הבאה:
   chrome://settings/security
2. תַחַת אבטחה מתקדמת , לעבור הלאה השתמש ב- DNS מאובטח .
3. לאחר הפעלת DNS מאובטח, יהיו שתי אפשרויות:
   • עם ספק השירות הנוכחי שלך
   • עם נותני השירות המומלצים של Google

אתה יכול לבחור מה שמתאים לך. האפשרות השנייה תעלה על הגדרות ה- DNS של המערכת שלך.

הפעל DNS מאובטח ב- Google Chrome

כדי להשבית את DoH, פשוט החלף את השתמש ב- DNS מאובטח הגדרות ל כבוי .

אפשר DNS-over-HTTPS ב- Mozilla Firefox

1. פתח את Firefox ועבור אל כתובת האתר הבאה:
   about:preferences
2. תַחַת כללי , לך ל הגדרות רשת ולחץ על הגדרות לַחְצָן. או פשוט לחץ על וגם מקש מקלדת לפתיחת הגדרות.
3. גלול לתחתית ו חשבון הפעל DNS באמצעות HTTPS .
4. מהתפריט הנפתח, תוכל לבחור את שרת ה- DNS המאובטח המועדף עליך.
   

אפשר DNS-over-HTTPS ב- Microsoft Edge

1. פתח את Microsoft Edge ועבור לכתובת האתר הבאה:
   edge://flags/#dns-over-https
2. בחר מופעל מהתפריט הנפתח שלצד חיפושים מאובטחים של DNS .
3. הפעל מחדש את הדפדפן כדי שהשינויים ייכנסו לתוקף.
   

אפשר DNS-over-HTTPS בדפדפן Opera

1. פתח את דפדפן האופרה ועבור להגדרות (Alt + P).
2. לְהַרְחִיב מִתקַדֵם בתפריט השמאלי.
3. תחת מערכת, לעבור הלאה השתמש ב- DNS-over-HTTPS במקום בהגדרות ה- DNS של המערכת .
4. הפעל מחדש את הדפדפן כדי שהשינויים ייכנסו לתוקף.
   

הגדרות ה- DNS המאובטחות לא נכנסו לתוקף עד שהשבתתי את שירות ה- VPN המובנה של האופרה. אם יש לך בעיות בהפעלת DoH באופרה, נסה להשבית את ה- VPN.

אפשר DNS-over-HTTPS בדפדפן Vivaldi

1. פתח את דפדפן Vivaldi ועבור לכתובת האתר הבאה:
   vivaldi://flags/#dns-over-https
2. בחר מופעל מהתפריט הנפתח שלצד חיפושים מאובטחים של DNS .
3. הפעל מחדש את הדפדפן כדי שהשינויים ייכנסו לתוקף.
   

כיצד להפעיל DNS-over-HTTPS ב- Android

Android 9 Pie תומך בהגדרות DoH. תוכל לבצע את השלבים שלהלן כדי לאפשר DoH בטלפון Android שלך:

1. לך ל הגדרות → רשת ואינטרנט → מתקדם → DNS פרטי .
2. אתה יכול להגדיר אפשרות זו לאוטומטית או שאתה יכול לציין ספק DNS מאובטח בעצמך.
   

אם אינך מצליח למצוא את ההגדרות האלה בטלפון שלך, תוכל לבצע את השלבים הבאים:

1. הורד ופתח את אפליקציית QuickShortcutMaker מחנות Google Play.
2. עבור אל הגדרות והקש על:
   com.android.settings.Settings$NetworkDashboardActivity

פעולה זו תעביר אותך ישירות לדף הגדרות הרשת, שם תמצא את אפשרות ה- DNS המאובטחת.

איך אתה בודק אם אתה משתמש ב- DNS-over-HTTPS?

ישנן שתי דרכים לבדוק אם DoH מופעל כראוי עבור המכשיר או הדפדפן שלך.

הדרך הקלה ביותר לבדוק זאת היא באמצעות דף בדיקת חווית הגלישה הזו בענן . לחץ על בדוק את הדפדפן שלי לַחְצָן.

תחת DNS מאובטח, תקבל את ההודעה הבאה אם ​​אתה משתמש ב- DoH: | _+_ |

אם אינך משתמש ב- DoH, תקבל את ההודעה הבאה: | _+_ |

Windows 10 גירסה 2004 נותן גם דרך לפקח על מנות יציאה 53 בזמן אמת. זה יגיד לנו אם המערכת משתמשת ב- DNS-over-HTTPS או ב- Do53 מדור קודם.

1. פתח את PowerShell עם הרשאות ניהול.
2. הפעל את הפקודות הבאות:
   pktmon filter remove
   פעולה זו מסירה את כל המסננים הפעילים, אם קיימים.
   pktmon filter add -p 53
   זה מוסיף יציאה 53 למעקב ולרישום.
   pktmon start --etw -m real-time
   זה מתחיל במעקב בזמן אמת אחר יציאה 53.
   

אם אתה רואה הרבה תנועה מוצגת ברשימה, פירוש הדבר שמשתמשים ב- Do53 מדור קודם במקום DoH.

שים לב שהפקודות שהוזכרו לעיל יפעלו רק ב- Windows 10 גירסה 2004. אחרת, זה יתן לך שגיאה: פרמטר לא ידוע 'בזמן אמת'

רשימת שרתי שמות התומכים ב- DoH

להלן רשימת ספקי שירותי ה- DNS התומכים ב- DNS-over-HTTPS.

ספק	שם מארח	כתובת ה - IP
AdGuard	dns.adguard.com	176,103,130,132 176,103,130,134
AdGuard	dns-family.adguard.com	176,103,130,132 176,103,130,134
גלישה נקייה	family-filter-dns.cleanbrowsing.org	185,228,168,168 185,228,169,168
גלישה נקייה	adult-filter-dns.cleanbrowsing.org	185.228.168.10 185.228.169.11
Cloudflare	אחד.אחד.אחד 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Cloudflare	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Cloudflare	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
גוגל	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
NextDNS	dns.nextdns.io	45.90.28.0 45.90.30.0
OpenDNS	dns.opendns.com	208.67.222.222 208.67.220.220
OpenDNS	familyshield.opendns.com	208.67.222.123 208.67.220.123
OpenDNS	sandbox.opendns.com	208.67.222.2 208.67.220.2
Quad9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9.9.9.9 149,112,112,112

למרות ש- DNS-over-HTTPS הופך את האינטרנט לאבטח יותר וצריך ליישם אותו באופן אחיד ברחבי האינטרנט (כמו במקרה של HTTPS), פרוטוקול זה עומד לתת סיוטים לאנשי מערכת.

Sysadmins צריכים למצוא דרכים לחסום שירותי DNS ציבוריים תוך מתן אפשרות לשרתי ה- DNS הפנימיים שלהם להשתמש ב- DoH. זה צריך להיעשות כדי לשמור על ציוד הניטור ומדיניות ההגבלה הנוכחיים פעילים ברחבי הארגון.

אם פספסתי משהו במאמר, אנא יידע אותי זאת בתגובות למטה. אם אהבת את המאמר ולמדת משהו חדש, אנא שתף ​​אותו עם חבריך וברשתות החברתיות והירשם לניוזלטר שלנו.