DoH

DoH — это технология «DNS over HTTPS», которая шифрует доменные запросы и отправляет их внутри HTTPS-трафика. Проще говоря, DoH помогает скрыть, какие домены вы запрашиваете, от посторонних наблюдателей в сети и снижает риск подмены ответа по пути от устройства до резолвера.

Что такое DoH и зачем он нужен

Обычный DNS нередко работает «в открытую»: запросы на разрешение доменных имён могут быть видны провайдеру, администратору Wi-Fi или злоумышленнику в небезопасной сети. При использовании DoH запрос имени упаковывается в HTTPS и защищается TLS, поэтому перехватить или незаметно изменить запрос становится значительно сложнее. Для пользователя это обычно означает больше приватности, а для сайтов и сервисов — меньше шансов столкнуться с подменой ответа в публичных сетях.

Важно понимать границы. DoH защищает путь «клиент → рекурсивный резолвер», но не делает вас полностью анонимным: IP-адрес подключения к сайту остаётся видимым, а журналы на стороне сервисов никуда не исчезают. Зато шифрование запросов имён помогает снизить утечки на уровне доменных обращений и противостоять атакам типа «человек посередине», когда пытаются увести пользователя на фишинговую страницу через подмену ответа резолвера.

Как работает DoH на практике

Когда браузеру, приложению или системе нужен IP-адрес домена, они обращаются к рекурсивному резолверу. В случае DoH запрос идёт не по UDP/53, а как HTTPS-обмен на 443 порт к серверу, который умеет обрабатывать DNS поверх HTTPS. Дальше резолвер либо отдаёт ответ из кэша, либо запрашивает авторитативные серверы имён и возвращает результат. На скорость влияет кэширование и TTL: пока запись жива в кэше, ответ приходит быстро; при обновлении потребуется полный цикл разрешения.

В настройках вы можете встретить формулировки «Secure DNS», «Защищённый DNS» или «DNS через HTTPS». Иногда DoH включается прямо в браузере и работает поверх системного резолвера, а иногда настраивается на уровне операционной системы или роутера. Из-за этого меняется и поведение: например, могут обходиться настройки провайдера, локальные правила фильтрации и некоторые механизмы родительского контроля, если их не адаптировали под защищённое разрешение имён.

Рядом почти всегда всплывает DoT (DNS over TLS). DoT тоже шифрует запросы, но использует отдельное TLS-соединение (часто порт 853), а DoH прячет DNS внутри обычного HTTPS-трафика. Для пользователя разница чаще всего в совместимости и администрировании: HTTPS проще проходит через сети, где открыт 443 порт, но DoH сложнее централизованно контролировать в корпоративной инфраструктуре, если политика требует аудит и единые правила.

Плюсы и минусы DoH

У DoH есть понятные преимущества, но и компромиссы. Обычно оценивают такие моменты:

Конфиденциальность: доменные запросы меньше «светятся» в локальной сети, сложнее пассивно собирать историю доменов.
Целостность: снижается риск подмены ответов в небезопасных точках доступа и при атаках на трафик.
Стабильность: качественные публичные резолверы дают быстрый кэш и устойчивую инфраструктуру.
Управляемость: в офисе и школе могут «ломаться» внутренние зоны, split DNS, фильтрация и контроль доступа, если включить защищённый режим без политики.
Доверие: вы делегируете историю доменных запросов выбранному резолверу, поэтому важны репутация и правила логирования.
Диагностика: при включённом режиме привычные симптомы «разрешение имён не работает» могут выглядеть иначе, и важно понимать, кто делает запрос — браузер или система.

Проверить, что режим действительно активен, можно по нескольким признакам. Посмотрите, какой резолвер выбран в настройках браузера или системы, и не переопределяет ли его корпоративная политика. В продвинутых случаях помогают nslookup и dig: сравнивают ответы, TTL и то, куда уходит запрос — на обычный DNS или на HTTPS-резолвер. Если DoH включён в браузере, запросы на домены могут идти иначе, чем в системе, и это важно учитывать при поиске ошибок.

Чтобы DoH приносил пользу, выбирайте один сценарий и держите его последовательным: либо системные настройки, либо режим в браузере, либо корпоративный резолвер внутри организации. Смешивание нескольких путей усложняет кэш, поддержку и поиск причин, почему один сайт открывается, а другой нет.

Если цель — приватность в кафе и отелях, DoH часто даёт быстрый эффект: трафик доменных запросов становится зашифрованным и менее уязвимым для подмены. Если цель — безопасность в компании, чаще нужен контролируемый вариант: собственный резолвер, понятные политики и прозрачная диагностика.

Читайте материалы по DoH ниже: здесь собраны разборы, сравнение DoH и DoT, настройки защищённого DNS и типовые ошибки, из-за которых домены «не резолвятся».

Подпишитесь на тему DoH, чтобы быть первыми в курсе событий по DoH и новых публикаций по этой теме.

Подписывайтесь на наш телеграм-канал

Постолог — посты, мнения, обсуждения

Александр

27.01.2026

AI (искусственный интеллект)

Как пользоваться Gemini, ChatGPT, Notion и другими сервисами без VPN на любом устройстве

Как пользоваться Gemini, ChatGPT, Notion без VPN настройка DNS DoH на всех устройствах

Часть зарубежных сервисов в России недоступна из-за региональных ограничений и санкций. Держать VPN включённым постоянно неудобно: падает скорость, иногда ломаются банки, госуслуги и приложения, а некоторые сервисы всё равно «видят» регион.