Какой протокол шифрования DNS лучше всего защищает ваш веб-трафик?

Система доменных имен (DNS) многими рассматривается как телефонная книга Интернета, преобразующая доменные имена в машиночитаемую информацию, например IP-адреса .

Всякий раз, когда вы пишете имя домена в адресной строке, DNS автоматически преобразует его в соответствующий IP-адрес. Ваш браузер использует эту информацию для получения данных с исходного сервера и загрузки веб-сайта.

Но киберпреступники часто могут отслеживать DNS-трафик, поэтому шифрование необходимо для обеспечения конфиденциальности и безопасности вашего просмотра веб-страниц.

Сегодня используется несколько протоколов шифрования DNS. Эти протоколы шифрования можно использовать для предотвращения кибер-отслеживания путем шифрования трафика в протоколе HTTPS через соединение безопасности транспортного уровня (TLS).

1. DNSКрипт

DNSCrypt — это сетевой протокол, который шифрует весь DNS-трафик между компьютером пользователя и общедоступным сервером имен. Протокол использует инфраструктуру открытых ключей (PKI) для проверки подлинности вашего DNS-сервера и клиентов.

Он использует два ключа: открытый ключ и закрытый ключ для аутентификации связи между клиентом и сервером. Когда инициируется DNS-запрос, клиент шифрует запрос, используя открытый ключ сервера.

Зашифрованный запрос затем отправляется на сервер, который расшифровывает его, используя свой закрытый ключ. Таким образом, DNSCrypt гарантирует, что связь между клиентом и сервером всегда аутентифицирована и зашифрована.

DNSCrypt — относительно старый сетевой протокол. Он был в значительной степени заменен DNS-over-TLS (DoT) и DNS-over-HTTPS (DoH) из-за более широкой поддержки и более сильных гарантий безопасности, обеспечиваемых этими новыми протоколами.

2. DNS через TLS

DNS-over-TLS шифрует ваши DNS-запросы с помощью Transport Layer Security (TLS). TLS гарантирует сквозное шифрование ваших DNS-запросов, предотвращая атаки типа «человек посередине» (MITM) .

Когда вы используете DNS-over-TLS (DoT), ваши DNS-запросы отправляются на преобразователь DNS-over-TLS, а не на незашифрованный преобразователь. Резолвер DNS-over-TLS декодирует ваш DNS-запрос и отправляет его на авторитетный DNS-сервер от вашего имени.

Портом по умолчанию для DoT является TCP-порт 853. При подключении с использованием DoT и клиент, и преобразователь выполняют цифровое «рукопожатие». Затем клиент отправляет DNS-запрос по зашифрованному каналу TLS преобразователю.

DNS-преобразователь обрабатывает запрос, находит соответствующий IP-адрес и отправляет ответ обратно клиенту по зашифрованному каналу. Клиент получает зашифрованный ответ, где он расшифровывается, и клиент использует IP-адрес для подключения к нужному веб-сайту или услуге.

3. DNS через HTTPS

HTTPS — это безопасная версия HTTP, используемая в настоящее время для доступа к веб-сайтам. Как и DNS-over-TLS, DNS-over-HTTPS (DoH) также шифрует всю информацию перед ее отправкой по сети.

Хотя цель одна и та же, между DoH и DoT есть некоторые фундаментальные различия. Во-первых, DoH отправляет все зашифрованные запросы через HTTPS вместо того, чтобы напрямую создавать соединение TLS для шифрования вашего трафика.

Во-вторых, он использует порт 403 для общего обмена данными, что затрудняет его отличие от обычного веб-трафика. DoT использует порт 853, что значительно упрощает идентификацию трафика с этого порта и его блокировку.

DoH получил более широкое распространение в таких веб-браузерах, как Mozilla Firefox и Google Chrome, поскольку он использует существующую инфраструктуру HTTPS. DoT чаще используется операционными системами и специализированными преобразователями DNS, а не интегрируется непосредственно в веб-браузеры.

Две основные причины, по которым DoH более широко распространен, заключаются в том, что его гораздо проще интегрировать в современные веб-браузеры и, что более важно, он легко сочетается с обычным веб-трафиком, что значительно усложняет блокировку.

4. DNS через QUIC

По сравнению с другими протоколами шифрования DNS в этом списке, DNS-over-QUIC (DoQ) является относительно новым. Это новый протокол безопасности, который отправляет DNS-запросы и ответы по транспортному протоколу QUIC (Quick UDP Internet Connections).

Сегодня большая часть интернет-трафика основана на протоколе управления передачей (TCP) или протоколе пользовательских дейтаграмм (UDP), при этом DNS-запросы часто отправляются через UDP. Однако протокол QUIC был создан для преодоления некоторых недостатков TCP/UDP, помогая уменьшить задержку и повысить безопасность.

QUIC — относительно новый транспортный протокол, разработанный  Google и предназначенный для обеспечения более высокой производительности, безопасности и надежности, чем традиционные протоколы, такие как TCP и TLS. QUIC сочетает в себе функции TCP и UDP и имеет встроенное шифрование, аналогичное TLS.

Поскольку DoQ является более новым, он предлагает несколько преимуществ по сравнению с упомянутыми выше протоколами. Во-первых, DoQ обеспечивает более высокую производительность, уменьшенную общую задержку и улучшенное время соединения. Это приводит к более быстрому разрешению DNS (время, необходимое DNS для разрешения IP-адресов). В конечном итоге это означает, что веб-сайты будут предоставляться вам быстрее.

Что еще более важно, DoQ более устойчив к потере данных по сравнению с TCP и UDP, поскольку он может восстанавливаться после потери пакетов, не требуя полной повторной передачи, в отличие от протоколов, основанных на TCP.

Кроме того, с помощью QUIC гораздо проще переносить соединения. QUIC инкапсулирует несколько потоков в одном соединении, уменьшая количество циклов, необходимых для соединения, и тем самым повышая производительность. Это также может быть полезно при переключении между Wi-Fi и мобильными сетями.

QUIC до сих пор не получил широкого распространения по сравнению с другими протоколами. Но такие компании, как Apple, Google и Meta, уже используют QUIC, часто создавая свои собственные версии (Microsoft использует MsQUIC для всего своего SMB-трафика), что является хорошим предзнаменованием на будущее.

Ожидается, что новые технологии фундаментально изменят способ доступа к Интернету. Например, многие компании сейчас используют технологии блокчейна , чтобы предложить более безопасные протоколы именования доменов, такие как HNS и Unstoppable Domains.