Совсем недавно пользователи Рунета, да и жители многих других стран, население которых не в восторге о того, что государство берет на себя функции цензора и ограничивает им доступ к тем, или иным веб-ресурсам, с воодушевлением обсуждали в официальном блоге разработчиков популярного браузера Firefox о начале развертывания технологии DNS-over-HTTPS, или сокращенно DoH, начиная с конца сентября. Дело в том, что данная технология может в какой-то степени свести на нет усилия веб-цензоров вроде российского Роскомнадзора по блокировкам. Более того, , которые внедряют в России в рамках создания изолированного Рунета.
Напомним, что DNS-over-HTTPS работает следующим образом: если мы хотим посетить веб-сайт, например, rusmonitor.сom, то обычно вводим в адресную строку браузера его название. Однако интернет не понимает человеческого языка, поэтому наши запросы сначала отправляются на специальные серверы доменных имен (DNS-серверы), которые превращают их в соответствующие цифровые IP-адреса. Причем, важно отметить, что сих пор наши запросы с именами веб-сайтов, которые мы вводим в адресную строку своих браузеров отправляются в сеть незашифрованными, поэтому любая третья сторона – будь то наш провайдер, или спецслужбы (в принципе — любой другой желающий) при необходимости без труда может эти запросы прочитать и узнать, какой веб-сайт мы намерены посетить (это, разумеется, не может нас не удручать, ведь получив эту информацию, наш провайдер может не пропустить нас по нужному нам адресу в сети, в случае, если этот адрес находится в черном списке у цензоров). И как раз тут на помощь к нам приходит новый протокол DOH. Который передает запросы пользователей на DNS-сервер через зашифрованный протокол HTTPS, а это значит, что теоретически разного рода малоприятным организациям вроде Роскомнадзора, а точнее провайдерам, на которых Роскомнадзором, собственно и возложена неблаговидная задача по цензуре в интернете, будет сложнее помешать вам пользоваться своим конституционным правом по свободному доступу к информации.
Надо сказать, что если речь идет о делах Российских, то у Роскомнадзора остаются возможности портить нашу сетевую жизнь и при наличии работающей DoH в нашем браузере, однако, это несомненно, вкупе с рядом других несложных мер, облегчит для нас процесс обхода блокировок, что не может не радовать.
Поэтому с удовольствием представим вам еще одну хорошую новость: технология DNS-over-HTTPS уже развернута во всех основных браузерах, несмотря на противодействие со стороны Роскомнадзора и цензурных органов в других странах. Пользователи просто должны включить его и настроить.
Авторитетное американское техническое издание ZdNet о том, что все шесть основных производителей браузеров планируют поддерживать DNS-over-HTTPS (или DoH), протокол, который шифрует трафик DNS и помогает улучшить конфиденциальность пользователя в Интернете, а также приводит подробную инструкцию:
Как включить DoH в каждом браузере
Ниже приведено то, что мы в настоящее время знаем о планах каждого поставщика браузера относительно DoH, и как пользователи могут включить DoH в каждом соответствующем браузере.
CHROME
Google Chrome — второй браузер после Firefox, добавивший поддержку DoH. Вы можете включить DoH в Chrome:
chrome://flags/#dns—over—https
Но, увы в Хроме не все так просто. И дело даже не в том, что Хроме DoH не включен по умолчанию для всех. Google в настоящее время проводит ограниченный эксперимент с небольшим количеством пользователей, чтобы увидеть, как DoH ведет себя в реальных условиях. Подробности .
Самое главное — в отличие от Firefox, который по умолчанию перенаправляет весь трафик DoH в Cloudflare, поддержка DoH в Chrome (а также в большинстве других браузеров на базе движка Chromium) в большинстве случаев просто не будет работать без целого ряда действий пользователя, который знает что он делает.
После включения DoH в Chrome браузер будет отправлять DNS-запросы на те же DNS-серверы, что и раньше. Если целевой DNS-сервер имеет интерфейс с поддержкой DoH, Chrome будет шифровать трафик DNS и отправлять его на интерфейс DoH того же DNS-сервера.
Это не даёт Chrome перехватить DNS-настройки операционной системы, что является разумным подходом к работе в корпоративных средах.
В настоящее время поддержка Chrome в DoH работает следующим образом:
— пользователь вводит URL-адрес веб-сайта в браузере
— Chrome просматривает DNS-сервер операционной системы
— Chrome проверяет, находится ли этот DNS-сервер в белом списке утвержденных DNS-серверов
с поддержкой DoH — если да, Chrome отправляет DoH (зашифрованный) DNS-запрос к интерфейсу DoH этого DNS-сервера
— если нет, Chrome отправляет обычный DNS-запрос на тот же сервер
Однако из-за способа, посредством которого Google внедрил поддержку DoH в Chrome, пользователи рискуют никогда не использовать DoH. Это связано с тем, что операционная система пользователя получает свои настройки DNS от центральных сетевых органов, которым обычно является Интернет-провайдер. Если провайдер не хочет использовать настройку DNS, дружественную к DoH, то у вас никогда не будет DoH в Chrome.
Хорошей новостью является то, что есть два способа обойти это и заставить Chrome постоянно использовать DoH, независимо от настроек DNS вашего Интернет-провайдера.
Уже написано руководство по . Во-вторых, пользователь может настроить собственный DoH-дружественный DNS-сервер для своей операционной системы. Они могут выбрать один из , который гарантированно будет работать в Chrome.
В следующем году Microsoft планирует выпустить новую версию своего браузера Edge, перестроенную на базе кода Chromium.
Представитель Microsoft сообщил ZDNet, что компания будет поддерживать DoH, но они не могут поделиться своими точными планами.
Однако версия Edge на базе Chromium уже поддерживает DoH. Пользователи могут включить его, посетив:
edge://flags/#dns—over—https
Это включит DoH, но не будет работать, если ваш компьютер не использует DNS-сервер с поддержкой DoH — что в 99% случаев не так.
Чтобы принудительно включить DoH в Edge и работать постоянно, вы можете выполнить шаги, изложенные в твите ниже.
msedge.exe —enable-features="DnsOverHttps<DoHTrial" —force-fieldtrials="DoHTrial/Group1" —force-fieldtrial-params="DoHTrial.Group1:Fallback/false/Templates/https%3A%2F%%2Fdns-query"
— Eric Lawrence ? (@ericlaw)
Вы можете заменить адрес резольвера DoH на Cloudflare на любой другой сервер DoH, по вашему желанию. Вы можете выбрать из списка .
После правильной настройки Edge тоже может работать поверх DoH — см. Скриншот ниже.
Браузер BRAVE
«Мы очень хотим его реализовать», — заявил Том Лоуентал, менеджер по продуктам в Brave for Privacy & Security.
Однако у команды Brave пока нет точных сроков развертывания DoH. Это потому, что разработчики Brave были заняты другими улучшениями, ориентированными на конфиденциальность.
Например, вчера компания выпустила обновление с . Кроме того, стабильная версия v1.0 находится на горизонте, поэтому команде Brave необходимо сначала сосредоточиться на этой версии.
Тем не менее, DoH придет и к пользователям Brave.
«Внедрение DoH — это гораздо больше, чем просто техническая работа. Мы должны принять решение о разумных и защитных настройках по умолчанию для подавляющего большинства людей, которые не думают о своей конфигурации DNS, и при этом следят за тем, чтобы мы не ничего случайно не сломали для тех людей и организаций, которые тщательно настраивали свой браузер», сказал Ловенталь.
При этом, если вы являетесь продвинутым пользователем и одновременно пользователем Brave, вам возможно стоит знать, что в построенном на базе кода браузера Chromium с открытым исходным кодом, уже доступна поддержка DoH. Однако пока команда Brave просто не настроила эту функцию по своему вкусу. Он есть в коде браузера, работает так, как задумано команой Google Chrome (см. Раздел Chrome ниже).
Вы можете включить DoH в Brave, посетив следующий URL:
brave://flags/#dns-over-https
FIREFOX
Mozilla была организацией, которая первой создала DoH совместно с Cloudflare. Поддержка DoH уже доступна в стабильных версиях Firefox. Поэтому включить и пользоваться протоколом DoH именно в Firefox вам будет проще всего
Вы можете включить его через раздел настроек браузера, в разделе «Сеть». Смотрите инструкции на этой картинке:
Причиной, по которой каждый критикует реализацию DoH в Firefox, является то, что они используют Cloudflare в качестве сервера DoH по умолчанию для всех, эффективно перезаписывая локальные настройки DNS для всех.
Однако любой может изменить эту настройку по умолчанию на . Из всех браузеров поддержка Firefox DoH является самой сильной и простой в настройке, прежде всего потому, что они работают над ней дольше, чем кто-либо другой.
В настоящее время организация включает DoH по умолчанию для всех пользователей в США. DoH не будет включен по умолчанию для пользователей из Великобритании, после того как свое недовольство выразило правительство Великобритании, которое любит цензуру не хуже нашего Роскомнадзора.
Что касается России, а также других стран на постсоветском пространстве, власти которых считают себя вправе контроливать, что их гражданам можно смотреть, а что нельзя, то их жителям стоит знать, что протокол DoH в регионе по умолчанию может быть не включен. Однако, поскольку поддержка DoH уже присутствует в стабильной версии браузера, все, что нужно сделать пользователю, это включить его, и он будет работать без сбоев. Тем более, что в Мозилле это сделать проще всего.
OPERA
В Opera уже развернута поддержка DoH. Функция также по умолчанию отключена для всех пользователей, но в стабильной версии может быть включена пользователем в любой момент и она будет работать без каких-либо дополнительных шагов.
Это связано с тем, что разработчики Opera используют распознаватель DoH по умолчанию, похожий на Firefox, и не оставляют его интернет-провайдерам, по тому принципу, как эта функция реализована в Chrome. Весь трафик Opera DoH в настоящее время направляется в резольвер DoH Cloudflare 1.1.1.1.
Однако, надо учесть, что DoH в браузере Opera не умеет работать вместе со встроенным в этот браузер VPN. Поэтому, если вы хотите использовать DoH – знайте, что встроенный VPN должен быть отключен. Если вам нужен и DOH и VPN одновременно – то прибегните к услугам стороннего VPN провайдера, или настройте собственный.
Чтобы включить DoH в Opera, посетите:
opera://flags/opera-doh
SAFARI
Информации нет. Впрочем разработчики Safari, как правило, хоть и опаздывают на вечеринку, посвященную развёртыванию новых функций, но когда приходит время, делают это лучше всех. А так как Apple в последнее время немало инвестировала в функции, ориентированные на конфиденциальность пользователей, поэтому вероятность того, что DoH придет в Safari, довольно высока.
VIVALDI
Представитель Vilvadi заявил, что его поддержка DoH тесно связана с реализацией Chrome. Пользователи могут включить его, посетив:
vivaldi://flags/#dns—over—https
Наверное вы уже догадались, что поскольку DoH в Vivaldi работает так же, как и в Chrome, он не будет по умолчанию шифровать DNS-запросы, если пользователь не использует DNS-сервер для всей ОС, который также имеет интерфейс DoH, и указан на этой странице (в переводе на человеческий язык – это значит, что чтобы включить DoH в Vivaldi вам понадобятся все те же действия, что и в случае с Chrome и Edgе, уже описанные описанные выше).
Скорее всего, вам нужно будет добавить один из этих дружественных DoH DNS-серверов в настройки DNS вашей операционной системы, если вы хотите, чтобы DoH работал в Vivaldi, и использовать его постоянно. Ребята из ZdNet пишут, что они без проблем включили DoH , используя 1.1.1.1 в качестве настроек DNS тестовой операционной системы.
Представитель Vivaldi сказал, что поддержка DoH от Vivaldi может измениться в будущем, в зависимости от того, как Google изменит поддержку DoH в Chromium.
В качестве заключения стоит подчеркнуть то, что из вышеизложенного понятно, что проще всего настроить функцию DoH можно в Firefox. Поэтому, если вы не завязаны на какую-то другую платформу и, при этом, хотите быть более защищенными от навязчивых глаз «родного» государства — просто сделайте старую-добрую Мозиллу своим основным браузером. Если же платформу менять нет возможности – то тогда вам предстоят небольшие «танцы с бубном», впрочем, если вы внимательно прочтете изложенные здесь инструкции, то не потратите на это больше, чем 15 минут своего времени.
Успехов в борьбе с Роскомнадзором!