Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Традиционный DNS использует незашифрованные сообщения UDP или TCP через порт 53, который предоставляет трафик DNS для пассивного мониторинга, анализа трафика и активной манипуляции злоумышленниками. Шифрование DNS защищает DNS-запросы и ответы от наблюдения, изменения или подделки во время передачи по сети.
DNS по протоколу HTTPS (DoH) — это стандартный механизм, который шифрует трафик DNS, инкапсулируя DNS-сообщения в HTTPS, обеспечивая конфиденциальность и целостность с помощью протокола TLS. Путем шифрования трафика DNS DoH помогает предотвратить подслушивание, атаки посредника и несанкционированную проверку запросов и ответов DNS.
Как работает DNS по протоколу HTTPS
DNS по протоколу HTTPS не изменяет базовую модель ЗАПРОСА DNS и ответа. Вместо этого он изменяет способ передачи сообщений DNS по сети. При включении DoH на DNS-сервере DoH становится дополнительным параметром шифрования связи, и DNS-сервер продолжает отвечать на традиционные ЗАПРОСы DNS, если вы явно не отключите эту возможность.
При включении DoH:
DNS-сервер прослушивает трафик HTTPS.
Клиент с поддержкой DoH (например, клиент Windows 11) настраивается для использования зашифрованных запросов к DNS-серверу.
Клиент DoH устанавливает подключение TLS к DNS-серверу.
Клиент отправляет DNS-запросы внутри HTTPS-запроса.
DNS-сервер обрабатывает запрос как обычно.
Ответ DNS возвращается внутри ответа HTTPS.
DNS по протоколу HTTPS для DNS-сервера (предварительная версия)
Это важно
DNS по протоколу HTTPS (DoH) для DNS-сервера в Windows Server в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Начиная с обновления безопасности 2026-02 (KB5075899) для Windows Server 2025 можно включить DNS по протоколу HTTPS (DoH) в службе DNS-сервера для шифрования трафика DNS между клиентами, поддерживающие DoH, и DNS-сервер.
Пример потока связи DoH, как показано на следующей схеме.
При настройке DNS по протоколу HTTPS для DNS-сервера следует учитывать следующее во время предварительной версии:
Исходящие DNS-связи (серверы пересылки, условные пересылки, доверенные серверы) остаются незашифрованными.
Передача зоны DNS остается незашифрованной.
Динамические обновления DNS остаются незашифрованными по умолчанию.
Невозможно создать фильтр DNS-запросов, который соответствует только запросам DoH.
Политики с фильтром запросов протокола транспорта не соответствуют запросам DoH. Политика, у которой фильтр транспортного протокола установлен в значение
EQ, TCP, не соответствует DoH.
Преимущества безопасности DNS по протоколу HTTPS
DNS по протоколу HTTPS обеспечивает следующие преимущества безопасности и конфиденциальности:
Конфиденциальность. Dns-запросы и ответы шифруются, предотвращая пассивный мониторинг.
Целостность. TLS защищает DNS-сообщения от изменений во время транзита.
Authentication. DNS-клиенты могут проверить удостоверение DNS-сервера с помощью стандартной проверки сертификата HTTPS.
Устойчивость к анализу трафика. Трафик DNS смешивается с другим трафиком HTTPS, снижая вероятность воздействия фильтрации или манипуляции, специфичной для DNS. Такой подход повышает конфиденциальность и сопротивление перехвату.
DNS поверх HTTPS: протоколы и стандарты
IETF определяет DNS по протоколу HTTPS в RFC 8484 — DNS-запросы по протоколу HTTPS (DoH).
RFC 8484 указывает, как отправлять и получать DNS-сообщения с помощью ПРОТОКОЛА HTTP по протоколу TLS. Стандарт DoH поддерживает методы GET и POST и определяет типы носителей для СООБЩЕНИЙ DNS. Такой подход позволяет использовать трафик DNS на основе современных функций HTTPS, таких как шифрование, проверка подлинности и повторное использование подключений.
Кроме того, стандарт DoH предоставляет реализации серверов свободу настройки прослушивающего URI и порта сервера, что обеспечивает гибкое развертывание в различных сетевых средах.
Шифрование DNS и DNSSEC
Шифрование DNS, например DoH и DNSSEC, устраняют различные модели угроз и являются дополнительными технологиями. Шифрование DNS защищает трафик DNS на проводе, в то время как DNSSEC гарантирует, что данные DNS криптографически проверяются для целостности и исходят из авторитетного источника.
Используя DoH вместе с DNSSEC, вы получаете глубинную защиту, сочетая зашифрованный транспорт с прошедшими проверку подлинности DNS-данными. Дополнительные сведения о DNSSEC см. в разделе "Что такое DNSSEC?"