DoH, DoT и DoQ: шифрованный DNS и почему это важно

Классический DNS работает по UDP-порту 53 в открытом виде: любой промежуточный узел видит, какие домены вы резолвите. Это самый простой способ профилировать пользователя. Шифрованные DNS-протоколы закрывают этот канал. Их три основных: DoH, DoT, DoQ.

DNS-over-TLS (DoT)

RFC 7858 (2016). DNS-запросы идут в TLS-соединении по TCP-порту 853. Плюсы: простая замена обычного DNS в сетях. Минусы: отдельный порт легко классифицируется оборудованием и может блокироваться.

DNS-over-HTTPS (DoH)

RFC 8484 (2018). DNS-запросы посылаются как HTTPS POST/GET на порт 443, то есть выглядят неотличимо от обычного веб-трафика. Поддерживается Cloudflare, Google, Quad9, Яндекс DNS. Большинство браузеров поддерживают DoH без зависимости от ОС.

DNS-over-QUIC (DoQ)

RFC 9250 (2022). DNS поверх QUIC по порту 784 (а позже — по мультиплексированным QUIC-соединениям на 443). Низкий RTT, 0-RTT при повторе, мобильность соединений. В перспективе — основной транспорт шифрованного DNS.

Сравнительная таблица

Поддержка в ОС

• Windows 11 — встроенный DoH, настраивается в «Сеть → Ethernet/Wi-Fi → Edit DNS settings».
• macOS / iOS — начиная с 14/11 поддерживают DoH/DoT через мобильные профили (MDM).
• Android 9+ — Private DNS (DoT); DoH частично через AdGuard/NextDNS приложения.
• Linux — systemd-resolved, dnscrypt-proxy, getdns-lib.

Производительность

По измерениям APNIC и Cloudflare, DoH добавляет 5–15 мс к RTT по сравнению с обычным DNS, DoT — 10–20 мс, DoQ — 2–8 мс (за счёт 0-RTT). В большинстве сценариев эта разница перекрывается кэшированием.

Что не решает шифрованный DNS

• IP-адрес посещённого ресурса всё равно виден.
• SNI в TLS — тоже (пока нет ECH).
• Метаданные (размер, тайминги) остаются прежними.

Итого

DoH/DoT/DoQ — обязательный этап эволюции сетей. Для инженеров это означает более сложную отладку (tcpdump на порту 53 бесполезен), но и лучшую защиту пользователей от пассивного наблюдения. В ближайшие годы DoQ, скорее всего, станет основным — он работает там же, где и HTTP/3.