Главная страница » Безопасность » DNS over HTTPS (DoH) в 2026 — что это, зачем нужен и как настроить

DNS over HTTPS (DoH) в 2026 — что это, зачем нужен и как настроить

DNS over HTTPS — envelope с question mark внутри замка-щита, painterly editorial

Главное за 30 секунд — DNS over HTTPS

DNS over HTTPS (DoH) — это шифрованный DNS-запрос, обёрнутый в обычный HTTPS. Вместо открытого UDP-пакета на порт 53, который провайдер видит и может подменить, ваше устройство шлёт DNS-запрос внутри TLS-сессии к серверу вроде Cloudflare 1.1.1.1, Google 8.8.8.8 или AdGuard. Провайдер видит только факт подключения к HTTPS-серверу — какие именно сайты вы запрашивали, ему недоступно. Включается одной галочкой в Chrome/Firefox/Edge или в системных настройках Windows 11, macOS, Android 9+ и iOS 14+. В России в 2026 году ТСПУ периодически блокирует часть DoH-провайдеров, поэтому VPN с DoH из коробки (вроде НЕВПН) — самый стабильный вариант.

Подключить НЕВПН с DoH из коробки

Ниже — как работает DoH, как включить в браузерах и системах, и что с ним делает ТСПУ в 2026.

Когда вы вбиваете example.com в адресную строку, устройство сначала спрашивает у DNS-сервера, какой у этого домена IP. По умолчанию этот запрос идёт открытым текстом по UDP на порт 53 — провайдер видит, к какому домену вы обращаетесь, ещё до того, как соединение установится. DNS over HTTPS закрывает эту дыру: запрос шифруется и идёт внутри обычного HTTPS-соединения. Дальше — как именно DoH устроен, чем отличается от родственных DoT и DoQ, как его включить в браузерах и системах и почему российский ТСПУ периодически воюет с DoH-провайдерами.

Что такое DoH и зачем он нужен

Классический DNS — самый незащищённый кусок современного интернета. Стандарту больше 40 лет, в нём нет ни шифрования, ни аутентификации сервера. Что это значит на практике:

  • Провайдер видит весь список доменов. Каждый раз, когда вы открываете сайт, провайдер логирует факт DNS-запроса. По этим логам можно собрать историю посещений, даже если сами сайты под HTTPS.
  • Провайдер может подменить ответ. Российская блокировка сайтов до недавнего времени работала именно так: на запрос «какой IP у заблокированного.ru» провайдер возвращал свой IP с заглушкой вместо настоящего. С ТСПУ блокировка ушла на уровень DPI, но DNS-подмена ещё используется в дешёвых сценариях.
  • Любой человек в той же Wi-Fi-сети тоже видит запросы. Открытое кафе, аэропорт, отель — там DNS-трафик читает кто угодно с базовым sniffer’ом.

DoH решает все три проблемы одним приёмом: DNS-запрос упаковывается внутрь HTTPS-сессии к доверенному резолверу (Cloudflare, Google, AdGuard, NextDNS, Quad9 и так далее). Провайдер видит только зашифрованный поток к одному адресу — ничего про конкретные сайты он сказать не может. Подменить ответ тоже невозможно: TLS-сертификат резолвера проверяется клиентом.

Как DoH работает технически

На уровне протокола всё устроено просто. Клиент устанавливает обычное HTTPS-соединение с DoH-сервером (например, https://1.1.1.1/dns-query для Cloudflare или https://8.8.8.8/dns-query для Google), внутри этого соединения отправляет DNS-запрос в формате wire format (RFC 8484), получает обратно DNS-ответ. Снаружи всё это выглядит как один HTTPS-запрос — провайдер видит TLS-handshake к 1.1.1.1, и не более.

HTTPS-сессия может переиспользоваться для серии DNS-запросов (HTTP/2 multiplexing), что делает DoH быстрее, чем «один TLS-handshake на каждый домен». На современных браузерах и системах DoH обычно даёт задержку 5-30 мс на запрос, что сравнимо с обычным DNS.

DNS over HTTPS — схема: классический DNS-запрос идёт открыто, DoH-запрос шифруется и идёт внутри HTTPS, провайдер видит только TLS-handshake к доверенному серверу

DoH vs DoT vs обычный DNS — в чём разница

ПараметрОбычный DNSDoT (DNS over TLS)DoH (DNS over HTTPS)
ШифрованиеНетДа (TLS)Да (TLS внутри HTTPS)
ПортUDP 53TCP 853TCP 443 (как обычный HTTPS)
Видно ли DoH-трафик в DPIВиден полностьюВиден как «DoT-трафик» — отдельный портНе виден — выглядит как обычный HTTPS
Можно ли заблокироватьТривиальноПросто (заблокировать порт 853)Сложно (нужно блокировать конкретные IP резолверов)
Поддержка в браузерахЧерез системный DNSТолько через системные настройкиВстроена в Chrome, Firefox, Edge, Safari

DoT (DNS over TLS) появился раньше DoH и в плане шифрования делает то же самое, но с принципиальным отличием — он работает на отдельном порту 853. Любой провайдер с базовым firewall может блокировать DoT одним правилом «порт 853 — drop». DoH использует тот же порт 443, что и весь остальной HTTPS-трафик; заблокировать его без отключения всего интернета на участке практически невозможно. Ещё один родственник — DoQ (DNS over QUIC), это DoT поверх QUIC-протокола; в России QUIC периодически режется ТСПУ, поэтому DoQ как массовое решение не прижился.

Кто реально предоставляет DoH в 2026

  • Cloudflare 1.1.1.1 — самый популярный публичный DoH-резолвер. Бесплатный, без логирования (по их политике), быстрый по всему миру. Адрес: https://1.1.1.1/dns-query или https://cloudflare-dns.com/dns-query.
  • Google 8.8.8.8 — старейший публичный DNS, тоже поддерживает DoH. Логирует запросы (по их политике, для статистики и фильтра спама). Адрес: https://dns.google/dns-query.
  • AdGuard DNS — DoH с встроенной фильтрацией рекламы и трекеров. Полезно, если хочется одновременно зашифровать DNS и заблокировать назойливые баннеры на уровне резолвера. Адрес: https://dns.adguard.com/dns-query.
  • NextDNS — кастомизируемый DoH с веб-интерфейсом, где можно настроить свои фильтры, белые/чёрные списки и логирование. Бесплатно до 300 000 запросов в месяц.
  • Quad9 — DoH-резолвер от швейцарского некоммерческого консорциума с фокусом на безопасность (блокирует известные malware-домены). Адрес: https://dns.quad9.net/dns-query.

Выбор резолвера — компромисс между скоростью, политикой логирования и дополнительными функциями. Для базового шифрования без фильтров — Cloudflare; для блокировки рекламы — AdGuard; для максимальной кастомизации — NextDNS; для антималварной защиты — Quad9.

Как включить DoH в браузерах

  • Chrome: Settings → Privacy and security → Security → Use secure DNS → выбрать провайдера из списка или указать кастомный URL.
  • Firefox: Settings → Privacy & Security → DNS over HTTPS → Max Protection → выбрать Cloudflare, NextDNS или указать свой. Firefox единственный браузер, у которого DoH включён по умолчанию для пользователей в США.
  • Edge: Settings → Privacy, search, and services → Security → Use secure DNS → как в Chrome.
  • Safari: отдельной настройки нет, использует системный DNS macOS — настраивается через профиль конфигурации (см. ниже).

Важный нюанс: настройка в браузере шифрует только DNS-запросы из этого браузера. Все остальные приложения (мессенджеры, почтовый клиент, торрент) продолжают использовать системный DNS. Для полного покрытия нужна настройка на уровне ОС.

Как включить DoH на уровне системы

  • Windows 11: Settings → Network & internet → Wi-Fi (или Ethernet) → текущая сеть → DNS server assignment → Edit → Manual → IPv4 → ввести 1.1.1.1, в блоке DNS over HTTPS выбрать «On (automatic template)». В Windows 10 поддержка DoH есть начиная с 21H1, но включается через registry.
  • macOS: поддержки в стандартном UI нет — через профиль конфигурации (.mobileconfig). Cloudflare и AdGuard на своих сайтах генерируют готовые профили в один клик.
  • Android 9+ (Private DNS): Settings → Network & internet → Private DNS → Hostname of private DNS provider → ввести one.one.one.one (Cloudflare), dns.google (Google) или dns.adguard.com (AdGuard). Это формально DoT, но защищает так же.
  • iOS 14+: через профиль конфигурации (.mobileconfig), скачивается с сайта провайдера, ставится через Settings → Profile.
  • Linux: через systemd-resolved (с версии 247), через dnscrypt-proxy или через cloudflared в режиме DoH-прокси.
  • Роутер: на современных Keenetic, OpenWRT, MikroTik, AsusWRT-Merlin есть пакеты для системного DoH-резолвера. Это закрывает все устройства в домашней сети одним движением.

Если возиться с системными настройками не хочется — у НЕВПН DoH включён по умолчанию вместе с VPN-ключом. DNS-запросы автоматически идут через шифрованный канал, провайдер не видит ни доменов, ни IP-адресов — только факт подключения к VPN-серверу.

DoH в России — что делает ТСПУ

В 2024-2026 годах ТСПУ периодически блокирует доступ к публичным DoH-резолверам — особенно к Cloudflare 1.1.1.1, который чаще других используется для обхода российских блокировок. Блокировка не постоянная: то «1.1.1.1 работает», то «отвалился на пару дней», то снова работает. С Google 8.8.8.8 и AdGuard ситуация спокойнее, но и они периодически уходят в фильтры.

Полностью заблокировать DoH технически сложно — фильтру пришлось бы запретить все HTTPS-соединения к адресам известных DoH-резолверов, а их сотни (есть и небольшие провайдеры, и приватные DoH на VPS). Но точечная блокировка Cloudflare 1.1.1.1 достигает цели для массовой аудитории — большинство пользователей не будет переключаться на менее известный резолвер.

Дополнительно в России есть законодательная попытка обязать использовать «национальную систему DNS» — НСДИ. Реальное применение этой системы остаётся ограниченным, и обычный DoH через зарубежные сервисы остаётся рабочим вариантом. Если конкретный резолвер в вашей сети не работает — попробуйте другой из списка выше.

DoH в России — несколько защищённых каналов от устройства к разным DoH-резолверам Cloudflare, Google, AdGuard, ТСПУ периодически блокирует часть из них, painterly иллюстрация

DoH без VPN или DoH через VPN — что лучше

Это два разных инструмента для разных задач — и они не взаимозаменяемы.

  • DoH без VPN — шифрует только DNS-запросы. Сам трафик к сайтам идёт напрямую через провайдера, и DPI/ТСПУ продолжает его видеть. Полезно: провайдер не видит, какие домены вы запрашиваете; защита от DNS-подмены и от чужих в одной сети. Не помогает: DPI всё равно по SNI-полю TLS-handshake понимает, к какому домену вы подключаетесь после получения IP.
  • VPN без DoH — шифрует весь трафик к VPN-серверу, но DNS-запросы могут идти мимо туннеля (классический «DNS leak»). Провайдер видит DNS-запросы, хотя сам трафик зашифрован.
  • VPN с DoH из коробки — оптимальный вариант. VPN-клиент перехватывает DNS-запросы и направляет их через DoH к надёжному резолверу (или через сам VPN-туннель). Ни провайдер, ни ТСПУ не видят ни доменов, ни трафика.

Если вы хотите «чтобы провайдер вообще ничего не видел» — DoH сам по себе этого не даст; нужен VPN с встроенным DoH. У НЕВПН эта связка из коробки — DNS-запросы автоматически идут через зашифрованный канал внутри VPN-туннеля, без дополнительной настройки.

VPN с DoH из коробки — НЕВПН за 99 ₽/мес

Не нужно отдельно настраивать DoH в каждом устройстве и переключаться между Cloudflare и AdGuard когда ТСПУ блокирует один из них. У НЕВПН DNS-запросы автоматически идут через шифрованный канал внутри VPN-туннеля. Один ключ работает на 3 устройствах, защищает и DNS, и весь остальной трафик. VLESS+Reality+Vision не отваливается под нагрузкой и не ловится российскими DPI-фильтрами.

Попробовать НЕВПН

Частые вопросы про DNS over HTTPS

Что такое DoH простыми словами?

DNS over HTTPS — это шифрованный DNS-запрос, обёрнутый в обычный HTTPS. Вместо открытого DNS-пакета на порт 53 (который видит и может подменить провайдер), ваше устройство отправляет DNS-запрос внутри TLS-сессии к доверенному серверу. Снаружи это выглядит как обычный HTTPS-трафик — провайдер не видит, какие домены вы запрашивали.

Зачем нужен DoH, если у меня уже HTTPS на всех сайтах?

HTTPS шифрует контент после установки соединения, но сам факт того, что вы хотите подключиться к example.com, провайдер видит ещё до этого — через открытый DNS-запрос. DoH закрывает эту дыру: провайдер видит только подключение к шифрованному DNS-резолверу, а конкретные домены остаются скрытыми.

Чем DoH отличается от DoT и DoQ?

Все три шифруют DNS-запросы, но используют разные транспорты. DoT (DNS over TLS) работает на отдельном порту 853 — провайдеру легко его заблокировать. DoH работает на том же порту 443, что и весь HTTPS-трафик — заблокировать сложно. DoQ (DNS over QUIC) использует QUIC-протокол; в России QUIC периодически режется ТСПУ, поэтому DoQ как массовое решение не прижился.

Какой DoH-резолвер выбрать?

Для базового шифрования без фильтров — Cloudflare 1.1.1.1 (быстрый, без логов). Для блокировки рекламы и трекеров — AdGuard DNS. Для максимальной кастомизации — NextDNS. Для защиты от malware-доменов — Quad9. Google 8.8.8.8 — рабочий вариант, но они логируют запросы для статистики, что отличается от Cloudflare.

Как включить DoH в Chrome?

Settings → Privacy and security → Security → Use secure DNS → выбрать провайдера из списка (Cloudflare, Google, OpenDNS, Quad9, NextDNS, CleanBrowsing) или указать кастомный URL. Включается одной галочкой, не требует никаких дополнительных установок.

Как включить DoH на Android?

Android 9+ имеет встроенную функцию Private DNS: Settings → Network & internet → Private DNS → Hostname of private DNS provider → ввести one.one.one.one для Cloudflare, dns.google для Google или dns.adguard.com для AdGuard. Это формально DNS over TLS, но защищает аналогично DoH и работает на всех приложениях устройства.

Замедляет ли DoH интернет?

На современных устройствах задержка от DoH составляет 5-30 мс на запрос — практически не ощущается. HTTP/2 multiplexing позволяет переиспользовать одну TLS-сессию для серии запросов, что делает DoH иногда даже быстрее, чем классический DNS на медленных каналах. Если разница ощутима, скорее всего проблема в конкретном резолвере (далеко географически) — попробуйте другой.

DoH работает в России в 2026?

В целом да, но ТСПУ периодически блокирует доступ к конкретным DoH-резолверам — особенно к Cloudflare 1.1.1.1. Блокировка не постоянная и зависит от региона и провайдера. Если один резолвер не работает — обычно работает другой (Google, AdGuard, NextDNS). Полностью заблокировать DoH технически сложно, потому что трафик неотличим от обычного HTTPS.

Защищает ли DoH от блокировок сайтов?

Частично. DoH защищает от старых блокировок через DNS-подмену (когда провайдер на запрос «дай IP заблокированного сайта» возвращает свой IP с заглушкой). Но современные блокировки в России работают через DPI/ТСПУ — они смотрят SNI-поле в TLS-handshake уже после получения IP. От DPI-блокировок DoH не спасает; для этого нужен полноценный VPN с анти-DPI протоколом (VLESS+Reality+Vision и подобные).

Нужен ли DoH, если у меня уже есть VPN?

Хороший VPN направляет DNS-запросы внутри VPN-туннеля, что эквивалентно использованию DoH (запросы зашифрованы и провайдер их не видит). Но не все VPN-клиенты делают это правильно — иногда происходит «DNS leak», когда часть DNS-запросов идёт мимо туннеля через системный резолвер. Проверить можно на сайтах вроде dnsleaktest.com. Если VPN обеспечивает корректную обработку DNS — отдельный DoH не нужен; если есть утечки — включите DoH дополнительно.

Читайте также

НЕВПН — полный доступ к интернету

Telegram, Claude, Instagram и другие сервисы без ограничений. Автопилот, безлимитный трафик, без рекламы и логов.

Подключите за 1 минуту · без привязки карты