Несмотря на повсеместное внедрение HTTPS, факт посещения конкретного веб-ресурса остается открытой книгой для любого посредника в сети. Классический DNS-запрос передается в открытом виде, что позволяет провайдерам и злоумышленникам не только отслеживать активность пользователя, но и осуществлять DNS-хиджинг, подменяя IP-адрес целевого сервера и перенаправляя трафик на фишинговые копии сайтов.
Исторически DNS проектировался в эпоху доверия, когда скорость и совместимость были важнее конфиденциальности. Протокол Do53, работающий по UDP/TCP на 53-м порту, до сих пор остается стандартом внутри закрытых корпоративных контуров, но в глобальной сети он стал критическим уязвимым звеном. Это привело к созданию целого семейства протоколов шифрования, которые эволюционировали от простого оборачивания трафика в TLS до использования передовых транспортных механизмов.
Архитектурные различия: от TLS до QUIC
Первой серьезной попыткой защитить запросы стал DoT (DNS over TLS). Он использует выделенный порт 853 и стандартный TLS-слой. С технической точки зрения это надежное решение, которое активно интегрировано в мобильные ОС (Android и iOS). Однако выделенный порт делает такой трафик легко идентифицируемым для сетевых фильтров, что позволяет администраторам или цензорам блокировать DoT, не затрагивая остальной интернет-трафик.
В противовес этому DoH (DNS over HTTPS) маскирует DNS-запросы под обычный веб-трафик на порту 443. Это делает его практически неотличимым от стандартного серфинга, что обеспечило быструю поддержку в браузерах Chrome и Firefox. Однако DoH на базе HTTP/2 страдает от задержек, связанных с установлением TCP-соединения и TLS-рукопожатием, что требует нескольких циклов RTT (Round Trip Time) перед отправкой первого запроса.
Современный этап развития связан с внедрением протокола QUIC. DoQ (DNS over QUIC) объединяет транспортный уровень и шифрование в одну операцию, сокращая количество RTT до одного. Одной из ключевых особенностей DoQ является миграция соединений: при переключении устройства с Wi-Fi на LTE сессия не обрывается. DoH3 представляет собой эволюцию DoH, переносящую HTTPS на транспорт HTTP/3 (который также базируется на QUIC), объединяя в себе скрытность порта 443 и скорость DoQ.
Производительность и метрики
Согласно исследованию PAM 2026, опубликованному в Springer, разрыв в скорости между зашифрованным и открытым DNS практически нивелирован. В тестах с участием более 3000 резолверов было установлено, что DoQ и DoH3 демонстрируют минимальные задержки, сопоставимые с классическим Do53.
| Протокол | Порт | Транспорт | Задержка (RTT) | Особенности |
|---|---|---|---|---|
| Do53 | 53 | UDP/TCP | 0 (базовая) | Нет шифрования |
| DoT | 853 | TLS | 2 RTT | Легко блокируется |
| DoH | 443 | HTTPS/TCP | 2 RTT | Маскировка под веб |
| DoQ | Разные | QUIC | 1 RTT | Миграция сессий |
| DoH3 | 443 | HTTP/3/QUIC | 1 RTT | Скорость + Скрытность |
Эффективность QUIC-протоколов (DoQ и DoH3) особенно заметна при загрузке тяжелых страниц с десятками DNS-запросов, где общая скорость загрузки увеличивается примерно на 10% по сравнению с классическим DoH.
Практическая реализация и ограничения
Для владельцев веб-ресурсов выбор протокола шифрования на стороне клиента не имеет значения, так как это зона ответственности браузера и ОС. Однако критически важно обеспечить надежность авторитарного DNS. Рекомендуется использовать инфраструктуру Anycast для минимизации задержек и обязательно внедрить DNSSEC. Важно понимать: DNSSEC не шифрует трафик, а лишь гарантирует, что ответ от сервера не был подменен.
Стоит учитывать, что шифрование DNS не является панацеей. Даже при использовании DoH3 домен может быть раскрыт через поле SNI в TLS-рукопожатии, если не используется технология Encrypted Client Hello (ECH). Таким образом, зашифрованный DNS — это лишь один из слоев комплексной защиты.
Перспективы развития
В ближайшее время индустрия будет двигаться в сторону полной стандартизации DoH3 как основного метода разрешения имен в браузерах. Ожидается, что поддержка DoQ станет повсеместной в системных настройках ОС, что окончательно устранит компромисс между приватностью и скоростью доступа к сети.
