DNS, DoH и DoT: чем отличаются защищённые DNS-запросы

Короткое объяснение DNS-over-HTTPS и DNS-over-TLS без лишней теории.

Обычный DNS исторически передавался без шифрования. Это удобно и быстро, но запросы могут быть видны в сети. Защищённые варианты DNS появились как способ уменьшить утечки информации и защитить запросы от простого перехвата.

DNS-over-TLS использует отдельный TLS-канал, обычно на порту 853. Его удобно настраивать на роутерах, телефонах и серверах. Для клиента это выглядит как отдельный защищённый DNS-сервис с доменным именем и сертификатом.

DNS-over-HTTPS передаёт DNS-запросы поверх HTTPS. Обычно используется путь /dns-query. Такой вариант хорошо проходит через сети, где разрешён обычный HTTPS-трафик, но администрировать его иногда сложнее.

Выбор между DoH и DoT зависит от задачи. Для домашнего телефона или роутера DoT часто проще. Для браузеров и приложений чаще встречается DoH. В обоих случаях важно, чтобы сертификат соответствовал доменному имени сервера.

Защищённый DNS не делает пользователя полностью анонимным. Он скрывает сами DNS-запросы от простого просмотра в локальной сети, но не заменяет полноценную модель приватности и не отменяет необходимость безопасных настроек браузера и системы.

Материал носит справочный характер и описывает общие практики администрирования и эксплуатации инфраструктуры.