Neva
ВойтиПопробовать
4 мая 2026 г.·6 min read

DNS-over-HTTPS: что это, зачем нужно и как включить

Гайд для не-айтишника. Что закрывает DoH, чем отличается от обычного DNS, как настроить на Windows, macOS, iOS, Android и в браузере. Без жаргона.

DNS — это «справочное бюро» интернета. Когда ты вбиваешь в браузер example.com, устройство сначала спрашивает у DNS-сервера: «Какой у этого домена IP?». Получает ответ — и только после этого отправляет реальный запрос. Так работает каждое открытие сайта, каждый push-уведомление, каждое обновление приложения.

Долгое время этот разговор шёл в открытом виде: и провайдер интернета, и владелец Wi-Fi в кафе, и любой человек в той же сети могли видеть, какие домены ты запрашиваешь. DNS-over-HTTPS (DoH) закрывает эту утечку.

В этой статье разберём, что DoH защищает, что не защищает, и как включить его за три минуты на любом устройстве.

Зачем нужен DoH

Каждый раз, когда устройство открывает сайт, оно делает примерно такую последовательность:

  1. «Где сидит example.com?» — DNS-запрос
  2. DNS-сервер отвечает: «На IP 93.184.216.34»
  3. Устройство открывает соединение к этому IP

Шаг 1-2 по умолчанию идёт без шифрования. Это значит: провайдер кафе видит все доменные имена, которые ты открываешь. Государственные системы фильтрации (СОРМ в РФ, GFW в Китае, аналоги в Иране) тоже ловят DNS — это самый дешёвый способ блокировать сайты.

DoH прячет шаг 1-2 в обычное HTTPS-соединение к доверенному резолверу (Cloudflare, Quad9, AdGuard и т.д.). Со стороны это выглядит как любая загрузка веб-страницы — отличить нельзя.

Что DoH защищает

  • DNS-запросы от провайдера и владельца сети. Они не видят, какие домены ты открываешь.
  • DNS-spoofing атаки. Атакующий в той же Wi-Fi сети не сможет подменить ответы (потому что ответы тоже идут шифровано и подписано).
  • DNS-фильтрацию на уровне провайдера. Если у провайдера стоит «чёрный список» по DNS — ты его обойдёшь автоматически.

Что DoH не защищает

Важно понимать границы:

  • SNI (имя домена в HTTPS-handshake) всё ещё видно. Когда устройство открывает соединение к IP, в первом пакете оно передаёт желаемый домен — это нужно серверу, чтобы выбрать правильный сертификат. SNI идёт в открытом виде. Современный Encrypted Client Hello (ECH) шифрует SNI, но он включён далеко не везде.
  • IP-адрес назначения — куда именно идёт трафик. Это видно всегда.
  • Метаданные — тайминг, размер пакетов.
  • Содержимое запросов — DoH про DNS, не про сам трафик. Содержимое HTTPS-страниц закрывает HTTPS, не DoH.

Иначе говоря: DoH — один из слоёв приватности. Закрывает один конкретный канал утечки. Полную видимость даёт только VPN-туннель, и даже он не делает тебя анонимным (см. ниже).

DoH vs DoT — в чём разница

Есть второй стандарт, DNS-over-TLS (DoT). Делает то же самое — шифрует DNS — но через отдельный порт 853. С точки зрения пользователя разницы почти нет. С точки зрения сети:

  • DoH ездит по порту 443 — неотличим от обычного HTTPS-трафика. Лучше для обхода фильтрации.
  • DoT ездит по 853 — провайдер может специально блокировать этот порт. Зато протокол лёгче и быстрее.

В странах с активной фильтрацией (РФ в том числе) выбирай DoH. Если работаешь только в дружественной сети — DoT даст чуть меньше latency.

Какой резолвер выбрать

DoH-провайдер видит все твои DNS-запросы. То есть ты передаёшь часть доверия от провайдера интернета к резолверу. Стоит выбирать тех, кто:

  • публично декларирует политику логирования,
  • не привязан к рекламным сетям,
  • не находится в юрисдикции твоего провайдера.

Популярные варианты:

РезолверURLПлюсыМинусы
Cloudflare 1.1.1.1cloudflare-dns.comСамый быстрый в среднем, чёткая privacy policyЗависимость от одного провайдера
Quad9dns.quad9.netШвейцарский, не-коммерческая, фильтрует malwareСлегка медленнее
AdGuard DNSdns.adguard-dns.comБлокирует рекламу и трекеры на уровне DNSРоссийская юрисдикция
NextDNS<твой ID>.dns.nextdns.ioПолностью настраиваемый, статистикаБесплатно до 300k запросов/мес

Если не уверен — Cloudflare для скорости, Quad9 для приватности.

Как включить DoH

Windows 11

  1. Settings → Network & Internet → твой Wi-Fi → Properties
  2. DNS server assignment → Edit
  3. IPv4 → Manual → On
  4. Preferred DNS: 1.1.1.1 (или другой резолвер)
  5. DNS over HTTPS → On
  6. Alternate DNS: 1.0.0.1

После этого Windows будет шифровать все DNS-запросы ОС — включая системные службы и фоновые приложения.

macOS (Sequoia / Tahoe)

macOS не имеет встроенного UI для DoH — нужен профиль конфигурации:

  1. Открой https://one.one.one.one → Profile for macOS → скачай .mobileconfig.
  2. System Settings → Privacy & Security → Profiles → дважды кликни скачанный файл → Install.
  3. Профиль активируется системно для всего трафика.

То же есть для Quad9 и большинства других резолверов на их сайтах.

iOS / iPadOS

Аналогично macOS — .mobileconfig-профиль:

  1. Открой https://one.one.one.one на iPhone → «Use 1.1.1.1 + Warp» или установка профиля без VPN.
  2. Settings → General → VPN & Device Management → установи профиль.

Альтернатива: Settings → General → VPN & DNS — приложение Cloudflare 1.1.1.1 делает то же самое из App Store.

Android (10+)

В Android есть встроенная функция Private DNS:

  1. Settings → Network & Internet → Private DNS
  2. Выбери «Private DNS provider hostname»
  3. Введи: dns.cloudflare.com (или dns.quad9.net, dns.adguard-dns.com)

Это DoT, не DoH — но для Android это разница без различия. Эффект одинаковый.

Chrome (любая ОС)

Если ОС не настроена, можно ограничиться браузером:

  1. Settings → Privacy and security → Security
  2. Use secure DNS → On → Customised → выбери провайдера

Минус: только трафик Chrome. Системный DNS остаётся в открытом виде.

Firefox

Settings → Privacy & Security → DNS over HTTPS → Max Protection → Choose provider. Можно ввести custom URL для NextDNS или AdGuard.

Роутер (бонус)

Если хочется чтобы все устройства в доме ходили через DoH без индивидуальной настройки — настрой DoH-resolver на роутере. Это работает на:

  • OpenWrt — модуль https-dns-proxy.
  • MikroTik RouterOS 7+ — есть встроенный DoH-клиент.
  • Keenetic (популярный в РФ) — модуль «Прокси DNS» с поддержкой DoH.

Apple-роутеры этого не умеют, как и большинство массовых TP-Link/D-Link.

Как проверить, что DoH работает

После настройки открой 1.1.1.1/help — Cloudflare покажет таблицу:

  • Connected to 1.1.1.1: Yes
  • Using DNS over HTTPS (DoH): Yes

Или, если выбрал другого провайдера, у него обычно есть аналогичная тестовая страница.

Когда DoH не хватит

DoH закрывает один канал утечки, но не все. Если ты переживаешь за то, что:

  • провайдер видит куда ходит твой трафик (IP, SNI, тайминг) →
  • ты в сети с активным MITM, который может фабриковать сертификаты →
  • ты в стране с глубокой фильтрацией по IP-адресам →

— DoH тут не поможет. Нужен VPN-туннель, который шифрует весь трафик целиком и прячет его внутри одного шифрованного канала к доверенному серверу.

VPN решает то, что DoH не закрывает: SNI, IP назначения, метаданные. Но это уже отдельная статья — мы написали её в гайде про открытый Wi-Fi.

Итог

DoH — это минимальный must-have для приватности в 2026-м. Включается за 3 минуты, не замедляет работу, не требует подписки. Закрывает один из самых явных каналов утечки — DNS — и снимает с провайдера и Wi-Fi-точки возможность видеть, какие сайты ты открываешь.

Это первый слой. Для полной защиты нужен ещё HTTPS-Only режим в браузере и, при работе в чужих сетях, VPN-туннель. Но если ты ничего больше не сделаешь — включи DoH прямо сейчас.