DNS over HTTPS

Уязвимость там, где не ждали, и VPN не поможет. Сетевые протоколы оперируют не доменными именами (привычными нам адресами сайтов, будь то vk.com, fb.com), а их IP адресами -- суть цифрами. И чтобы преобразовать имена в цифра, используется протокол DNS. Далее процесс преобразования имени домена в IP адрес я буду называть словом резолвить, что прочно связано с конфигурационным файлом resolv.conf

Что не так?

Протокол DNS был разработан в далёкий ныне 1983 год в романтические времена, когда на первом месте стояла открытость и производительность. Времена изменились, и через канал DNS ваш провайдер знает, какой сайт вы открываете. Даже если сайт в вашей стране заблокирован, и открываете вы его через VPN, браузер всё равно пытается отрезолвить имя домена в IP адрес через DNS вашего провайдера, и этот факт будет залогирован автоматически. А потом к вам постучат...

И что делать?

Проблемой незащищённого протокола DNS обеспокоились ещё в 1993 году, и ситуацию пытались менять. История проблемы прекрасно описана в статье Глубокий в-DoH. Разбираемся, как работает DNS over HTTPS и кому (не) выгодно его внедрение, и я настоятельно рекомендую её к прочтению. Я же сконцентрируюсь на том, как включить механизм DNS over HTTPS (далее -- DoH) для вашего браузера

Подводные камни

Прежде чем настраивать DoH, хочу обратить внимание на нюансы -- они одинаковы для всех браузеров

DoH и исключения

Сразу после включения DoH браузер будет пытаться резолвить через DoH вообще все адреса. И это становится проблемой для:

• Корпоративной локальные сети
• Скрытосетей (onion, i2p)

Сразу после включения DoH перечисленные выше классы ресурсов становятся для вас недоступными. Дело в том, что внешний DoH-провайдер не может и не должен знать ни ресурсы вашей корпоративной локальной сети, ни тем более о скрытосетях. Для комфортного интернет-сёрфинга конфлит необходимо разрешить. Этот момент будет рассмотриваться для каждого браузера

DoH провайдер по умолчанию

Обязательно смените провайдера DoH на нестандартный. Будет совсем идеально, если вы найдёте (спросите продвинутых друзей) какого-то малоизвестного DoH-провайдера

Включаем DoH для Firefox

Исключения DoH

Разработчики Firefox -- не хипстеры, а люди с бородой, поэтому конфликт разрешим через about:config и подробно рассмотрен в статье Настройка Firefox для работы в сети i2p

Включаем DoH для Chrome

Исключения DoH

Я не нашёл, как настроить исключения DoH для Chrome. Возможно, плохо искал. А на текущий момент я настоятельно рекомендую использовать Firefox

Смотри также

Цикл статей об i2p