DNS-Over-HTTPS là gì và cách bật nó trên thiết bị (hoặc trình duyệt) của bạn

• Thể LoạI: Hướng Dẫn

Hãy Thử Công Cụ CủA Chúng Tôi Để LoạI Bỏ Các VấN Đề

ChọN Hệ ĐiềU Hành Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro ChọN MộT Chương Trình ChiếU (Tùy ChọN) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Hãy Miêu Tả VấN Đề CủA BạN

NhậN Câu Trả LờI

GửI Cho Tôi Qua Email HiểN Thị Trên Trang Web

DNS-over-HTTPS (DNS bảo mật) là một công nghệ mới nhằm mục đích làm cho việc duyệt web trở nên an toàn bằng cách mã hóa giao tiếp giữa máy tính khách và máy chủ DNS.

Tiêu chuẩn Internet mới này đang được áp dụng rộng rãi. Danh sách áp dụng bao gồm Windows 10 (Phiên bản 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera và Vivaldi.

Trong bài viết này, chúng tôi sẽ thảo luận về những ưu điểm và nhược điểm của DNS-over-HTTPS và cách bật giao thức này trong thiết bị của bạn.

Chúng tôi cũng sẽ thảo luận về cách kiểm tra xem DoH có được bật cho thiết bị của bạn hay không.

Hãy bắt đầu nào. Tóm tắt nhanh ẩn giấu 1 Giải thích đơn giản về DNS-over-HTTPS và cách nó hoạt động 2 Ưu và nhược điểm của DNS-over-HTTPS 2.1 DoH không cho phép hoàn toàn quyền riêng tư của người dùng 2,2 DoH không áp dụng cho các truy vấn HTTP 2.3 Không phải tất cả các máy chủ DNS đều hỗ trợ DoH 2,4 DoH sẽ là một vấn đề đau đầu cho các doanh nghiệp 3 Việc sử dụng DNS qua HTTPS có làm chậm quá trình duyệt web không? 4 Cách bật hoặc tắt DNS-over-HTTPS trên Windows 10 4.1 Sử dụng Windows Registry 4.2 Sử dụng Chính sách Nhóm 4.3 Sử dụng PowerShell (Dòng lệnh) 5 Cách bật hoặc tắt DNS-over-HTTPS trong trình duyệt của bạn 5.1 Bật DNS qua HTTPS trong Google Chrome 5.2 Bật DNS qua HTTPS trong Mozilla Firefox 5.3 Bật DNS qua HTTPS trong Microsoft Edge 5,4 Bật DNS qua HTTPS trong Trình duyệt Opera 5.5 Bật DNS qua HTTPS trong Trình duyệt Vivaldi 6 Cách bật DNS qua HTTPS trong Android 7 Làm cách nào để kiểm tra xem bạn có đang sử dụng DNS qua HTTPS hay không? số 8 Danh sách Máy chủ Định danh hỗ trợ DoH

Giải thích đơn giản về DNS-over-HTTPS và cách nó hoạt động

DNS-over-HTTPS (DoH) là một giao thức để mã hóa các truy vấn DNS giữa máy tính của bạn và Máy chủ DNS. Nó được giới thiệu lần đầu tiên vào tháng 10 năm 2018 ( IETF RFC 8484 ) với mục tiêu tăng cường bảo mật và quyền riêng tư của người dùng.

Máy chủ DNS truyền thống sử dụng cổng DNS 53 để giao tiếp trong khi DNS-over-HTTPS sử dụng cổng HTTPS 443 để giao tiếp an toàn với máy khách.

Xin lưu ý rằng mặc dù DoH là một giao thức bảo mật nhưng nó không ngăn các ISP theo dõi các yêu cầu của bạn. Nó chỉ đơn giản là mã hóa dữ liệu truy vấn DNS giữa máy tính của bạn và ISP để ngăn chặn các vấn đề như giả mạo, tấn công man-in-the-middle, v.v.

Hãy hiểu điều này bằng một ví dụ đơn giản.

Đây là cách DNS hoạt động:

1. Nếu bạn muốn mở tên miền itechtics.com và yêu cầu nó bằng trình duyệt của mình.
2. Trình duyệt của bạn gửi một yêu cầu đến Máy chủ DNS được định cấu hình trong hệ thống của bạn, ví dụ: 1.1.1.1.
3. Trình phân giải đệ quy DNS (1.1.1.1) đi đến máy chủ gốc của miền cấp cao nhất (TLD) (trong trường hợp của chúng tôi là .com) và yêu cầu máy chủ định danh của itechtics.com.
4. Sau đó, máy chủ DNS (1.1.1.1) đi đến máy chủ định danh của itechtics.com và yêu cầu địa chỉ IP của tên DNS itechtics.com.
5. Máy chủ DNS (1.1.1.1) mang thông tin này đến trình duyệt và trình duyệt kết nối với itechtics.com và nhận phản hồi từ máy chủ.

Tất cả giao tiếp này từ máy tính của bạn đến máy chủ DNS đến máy chủ DNS TLD đến máy chủ định danh đến trang web và ngược lại được thực hiện dưới dạng tin nhắn văn bản đơn giản.

Điều đó có nghĩa là bất kỳ ai cũng có thể theo dõi lưu lượng truy cập web của bạn và dễ dàng biết bạn đang mở trang web nào.

DNS-over-HTTPS mã hóa tất cả thông tin liên lạc giữa máy tính của bạn và máy chủ DNS, giúp nó an toàn hơn và ít bị tấn công giả mạo hơn và ít bị tấn công giả mạo hơn.

Hãy hiểu điều này bằng một ví dụ trực quan:

Khi máy khách DNS gửi các truy vấn DNS tới máy chủ DNS mà không sử dụng DoH:

DNS qua HTTPS không được bật

Khi một ứng dụng khách DoH sử dụng giao thức DoH để gửi lưu lượng DNS đến máy chủ DNS hỗ trợ DoH:

Đã bật DNS qua HTTPS

Ở đây bạn có thể thấy rằng lưu lượng DNS từ máy khách đến máy chủ đã được mã hóa và không ai biết máy khách đã yêu cầu gì. Phản hồi DNS từ máy chủ cũng được mã hóa.

Ưu và nhược điểm của DNS-over-HTTPS

Mặc dù DNS-over-HTTPS sẽ dần thay thế hệ thống DNS cũ, nhưng nó đi kèm với những lợi thế riêng và những vấn đề tiềm ẩn. Hãy thảo luận về một số trong số chúng ở đây.

DoH không cho phép hoàn toàn quyền riêng tư của người dùng

DoH được quảng cáo là điều quan trọng tiếp theo trong quyền riêng tư và bảo mật của người dùng, nhưng theo tôi, nó chỉ tập trung vào bảo mật người dùng chứ không phải quyền riêng tư.

Nếu bạn biết giao thức này hoạt động như thế nào, bạn sẽ biết rằng DoH không ngăn ISP theo dõi các yêu cầu DNS của người dùng.

Ngay cả khi ISP không thể theo dõi bạn bằng DNS vì bạn đang sử dụng một nhà cung cấp DNS công cộng khác, có rất nhiều điểm dữ liệu vẫn mở cho ISP theo dõi. Ví dụ, Các trường Chỉ báo Tên Máy chủ (SNI) và Kết nối Giao thức Trạng thái Chứng chỉ Trực tuyến (OCSP) Vân vân.

Nếu muốn bảo mật hơn, bạn nên kiểm tra các công nghệ khác như DNS-over-TLS (DoT), DNSCurve, DNSCrypt, v.v.

DoH không áp dụng cho các truy vấn HTTP

Nếu bạn đang mở một trang web không hoạt động bằng SSL, máy chủ DoH sẽ quay trở lại công nghệ DNS cũ (DNS-over-HTTP) còn được gọi là Do53.

Nhưng nếu bạn đang sử dụng giao tiếp an toàn ở mọi nơi, DoH chắc chắn sẽ tốt hơn so với việc sử dụng các công nghệ DNS cũ và không an toàn.

Không phải tất cả các máy chủ DNS đều hỗ trợ DoH

Có một số lượng lớn máy chủ DNS cũ sẽ cần được nâng cấp để hỗ trợ DNS-over-HTTPS. Điều này sẽ mất nhiều thời gian để áp dụng rộng rãi.

Cho đến khi giao thức này được hỗ trợ bởi hầu hết các máy chủ DNS, hầu hết người dùng sẽ buộc phải sử dụng các máy chủ DNS công cộng do các tổ chức lớn cung cấp.

Điều này sẽ dẫn đến nhiều vấn đề về quyền riêng tư hơn vì hầu hết dữ liệu DNS sẽ được thu thập tại một số địa điểm tập trung trên khắp thế giới.

Một nhược điểm khác của việc áp dụng DoH sớm là nếu máy chủ DNS toàn cầu gặp sự cố, nó sẽ ảnh hưởng đến phần lớn người dùng đang sử dụng máy chủ để phân giải tên.

DoH sẽ là một vấn đề đau đầu cho các doanh nghiệp

Trong khi DoH sẽ cải thiện bảo mật, sẽ là vấn đề đau đầu đối với các doanh nghiệp và tổ chức giám sát hoạt động của nhân viên và sử dụng các công cụ để chặn các phần NSFW (không an toàn cho công việc) của web.

Quản trị viên mạng và hệ thống sẽ gặp khó khăn trong việc đối phó với giao thức mới.

Việc sử dụng DNS qua HTTPS có làm chậm quá trình duyệt web không?

Có hai khía cạnh của DoH cần tìm khi kiểm tra hiệu suất so với giao thức Do53 kế thừa:

1. Hiệu suất phân giải tên
2. Hiệu suất tải trang web

Hiệu suất phân giải tên là số liệu chúng tôi sử dụng để tính thời gian máy chủ DNS cung cấp cho chúng tôi địa chỉ IP máy chủ cần thiết của trang web mà chúng tôi muốn truy cập.

Hiệu suất tải trang web là số liệu thực tế về việc chúng tôi có cảm thấy bất kỳ sự chậm lại nào khi duyệt Internet bằng giao thức DNS qua HTTPS hay không.

Cả hai bài kiểm tra này đều được thực hiện bởi samknows và kết quả cuối cùng là có sự khác biệt không đáng kể về hiệu suất giữa DNS-over-HTTPS và các giao thức Do53 kế thừa.

Bạn có thể đọc hoàn thành nghiên cứu điển hình về hiệu suất với số liệu thống kê tại samknows .

Dưới đây là các bảng tóm tắt cho từng chỉ số mà chúng tôi đã xác định ở trên. (Bấm vào hình ảnh để xem lớn hơn)

Kiểm tra hiệu suất độ phân giải tên

Bảng hiệu suất DoH và Do53 ISPs

Kiểm tra hiệu suất tải trang web

Hiệu suất tải trang web DoH so với Do53

Cách bật hoặc tắt DNS-over-HTTPS trên Windows 10

Windows 10 Phiên bản 2004 sẽ đi kèm với DNS-over-HTTPS được bật theo mặc định. Vì vậy, khi phiên bản tiếp theo của Windows 10 được phát hành và bạn nâng cấp lên phiên bản mới nhất, sẽ không cần phải kích hoạt DoH theo cách thủ công.

Tuy nhiên, nếu bạn đang sử dụng Windows 10 Insider Preview, bạn sẽ cần phải kích hoạt DoH theo cách thủ công bằng các phương pháp sau:

Sử dụng Windows Registry

1. Đi đến Run -> regedit . Thao tác này sẽ mở Windows Registry Editor.
2. Mở khóa đăng ký sau:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
3. Nhấp chuột phải vào Thông số thư mục và chọn Mới -> DWORD (32-bit) Giá trị.
4. Gọi tên nó EnableAutoDoh .
5. Đặt giá trị của mục nhập EnableAutoDoh thành 2 .
   

Bạn sẽ cần khởi động lại máy tính để các thay đổi có hiệu lực.

Xin lưu ý rằng thay đổi này sẽ chỉ có hiệu lực khi bạn đang sử dụng máy chủ DNS hỗ trợ DNS-over-HTTPS. Dưới đây bạn sẽ tìm thấy một danh sách các nhà cung cấp DNS công cộng hỗ trợ DoH .

Các phiên bản trước đó của Windows 10 bao gồm phiên bản 1909 và 1903 không hỗ trợ DoH theo mặc định.

Sử dụng Chính sách Nhóm

Tôi đang giữ phần này để sử dụng trong tương lai. Hiện tại, không có quy tắc chính sách nhóm nào cho DNS-over-HTTPS. Chúng tôi sẽ điền các bước khi Microsoft cung cấp chúng cho Windows 10 Phiên bản 2004.

Sử dụng PowerShell (Dòng lệnh)

Tôi đang giữ phần này để sử dụng trong tương lai. Nếu Microsoft cung cấp cách để bật hoặc tắt DoH bằng dòng lệnh, chúng tôi sẽ liệt kê các bước tại đây.

Cách bật hoặc tắt DNS-over-HTTPS trong trình duyệt của bạn

Một số ứng dụng hỗ trợ bỏ qua máy chủ DNS được cấu hình hệ thống và thay vào đó sử dụng DNS-over-HTTPS. Hầu hết tất cả các trình duyệt hiện đại đều đã hỗ trợ DoH hoặc sẽ hỗ trợ giao thức trong tương lai gần.

Bật DNS qua HTTPS trong Google Chrome

1. Mở Google Chrome và truy cập URL sau:
   chrome://settings/security
2. Dưới Bảo mật nâng cao , bật lên Sử dụng DNS an toàn .
3. Sau khi bật DNS bảo mật, sẽ có hai tùy chọn:
   • Với nhà cung cấp dịch vụ hiện tại của bạn
   • Với các nhà cung cấp dịch vụ được đề xuất của Google

Bạn có thể chọn bất cứ thứ gì phù hợp với mình. Tùy chọn thứ hai sẽ vượt quá cài đặt DNS của hệ thống của bạn.

Bật DNS bảo mật trong Google Chrome

Để tắt DoH, chỉ cần chuyển Sử dụng DNS an toàn cài đặt cho tắt .

Bật DNS qua HTTPS trong Mozilla Firefox

1. Mở Firefox và truy cập URL sau:
   about:preferences
2. Dưới Tổng quan , đi đến Thiết lạp mạng lưới và nhấp vào Cài đặt cái nút. Hoặc chỉ cần nhấn VÀ phím bàn phím để mở cài đặt.
3. Cuộn xuống dưới cùng và đánh dấu Bật DNS qua HTTPS .
4. Từ menu thả xuống, bạn có thể chọn máy chủ DNS bảo mật ưa thích của mình.
   

Bật DNS qua HTTPS trong Microsoft Edge

1. Mở Microsoft Edge và truy cập URL sau:
   edge://flags/#dns-over-https
2. Lựa chọn Đã bật từ menu thả xuống bên cạnh Tra cứu DNS an toàn .
3. Khởi động lại trình duyệt để các thay đổi có hiệu lực.
   

Bật DNS qua HTTPS trong Trình duyệt Opera

1. Mở trình duyệt Opera và đi tới Cài đặt (Alt + P).
2. Mở rộng Nâng cao trên menu bên trái.
3. Theo Hệ thống, bật lên Sử dụng DNS qua HTTPS thay vì cài đặt DNS của hệ thống .
4. Khởi động lại trình duyệt để các thay đổi có hiệu lực.
   

Cài đặt DNS an toàn không có hiệu lực cho đến khi tôi tắt dịch vụ VPN tích hợp sẵn của Opera. Nếu bạn gặp sự cố khi bật DoH trong Opera, hãy thử tắt VPN.

Bật DNS qua HTTPS trong Trình duyệt Vivaldi

1. Mở trình duyệt Vivaldi và truy cập URL sau:
   vivaldi://flags/#dns-over-https
2. Lựa chọn Đã bật từ menu thả xuống bên cạnh Tra cứu DNS an toàn .
3. Khởi động lại trình duyệt để các thay đổi có hiệu lực.
   

Cách bật DNS qua HTTPS trong Android

Android 9 Pie hỗ trợ cài đặt DoH. Bạn có thể làm theo các bước dưới đây để bật DoH trên điện thoại Android của mình:

1. Đi đến Cài đặt → Mạng & internet → Nâng cao → DNS riêng .
2. Bạn có thể đặt tùy chọn này thành Tự động hoặc bạn có thể tự chỉ định nhà cung cấp DNS an toàn.
   

Nếu bạn không thể tìm thấy các cài đặt này trên điện thoại của mình, bạn có thể làm theo các bước bên dưới:

1. Tải xuống và mở ứng dụng QuickShortcutMaker từ Cửa hàng Google Play.
2. Đi tới Cài đặt và nhấn vào:
   com.android.settings.Settings$NetworkDashboardActivity

Thao tác này sẽ đưa bạn trực tiếp đến trang cài đặt mạng, nơi bạn sẽ tìm thấy tùy chọn DNS an toàn.

Làm cách nào để kiểm tra xem bạn có đang sử dụng DNS qua HTTPS hay không?

Có hai cách để kiểm tra xem DoH có được bật đúng cách cho thiết bị hoặc trình duyệt của bạn hay không.

Cách dễ nhất để kiểm tra điều này là đi tới trang kiểm tra trải nghiệm duyệt web cloudflare này . Nhấn vào Kiểm tra trình duyệt của tôi cái nút.

Trong Secure DNS, bạn sẽ nhận được thông báo sau nếu bạn đang sử dụng DoH: pktmon filter remove

Nếu bạn không sử dụng DoH, bạn sẽ nhận được thông báo sau: pktmon filter add -p 53

Windows 10 Phiên bản 2004 cũng cung cấp một cách để giám sát các gói cổng 53 trong thời gian thực. Điều này sẽ cho chúng tôi biết nếu hệ thống đang sử dụng DNS-over-HTTPS hoặc Do53 cũ.

1. Mở PowerShell với các đặc quyền quản trị.
2. Chạy các lệnh sau:
   pktmon start --etw -m real-time
   Thao tác này sẽ xóa tất cả các bộ lọc đang hoạt động, nếu có.
   

   You are using encrypted DNS transport with 1.1.1.1

   
   Điều này thêm cổng 53 để được theo dõi và ghi lại.
   

   You may not be using secure DNS.

   
   Điều này bắt đầu với việc giám sát cổng 53 theo thời gian thực.
   

Nếu bạn thấy nhiều lưu lượng truy cập được hiển thị trong danh sách, điều này có nghĩa là Do53 kế thừa đang được sử dụng thay vì DoH.

Xin lưu ý rằng các lệnh được đề cập ở trên sẽ chỉ hoạt động trong Windows 10 Phiên bản 2004. Nếu không, nó sẽ cung cấp cho bạn lỗi: Tham số không xác định ‘thời gian thực’

Danh sách Máy chủ Định danh hỗ trợ DoH

Đây là danh sách các nhà cung cấp dịch vụ DNS hỗ trợ DNS-over-HTTPS.

Các nhà cung cấp	Tên máy chủ	Địa chỉ IP
AdGuard	dns.adguard.com	176.103.130.132 176.103.130.134
AdGuard	dns-family.adguard.com	176.103.130.132 176.103.130.134
CleanBrowsing	family-filter-dns.cleanbrowsing.org	185.228.168.168 185.228.169.168
CleanBrowsing	Adult-filter-dns.cleanbrowsing.org	185.228.168.10 185.228.169.11
Cloudflare	one.one.one.one 1dot1dot1dot1.cloudflare-dns.com	1.1.1.1 1.0.0.1
Cloudflare	security.cloudflare-dns.com	1.1.1.2 1.0.0.2
Cloudflare	family.cloudflare-dns.com	1.1.1.3 1.0.0.3
Google	dns.google google-public-dns-a.google.com google-public-dns-b.google.com	8.8.8.8 8.8.4.4
NextDNS	dns.nextdns.io	45.90.28.0 45,90,30,0
OpenDNS	dns.opendns.com	208.67.222.222 208.67.220.220
OpenDNS	familyshield.opendns.com	208.67.222.123 208.67.220.123
OpenDNS	sandbox.opendns.com	208,67.222,2 208,67.220,2
Quad9	dns.quad9.net rpz-public-resolver1.rrdns.pch.net	9,9,9,9 149,112,112,112

Mặc dù DNS-over-HTTPS làm cho web an toàn hơn và phải được triển khai thống nhất trên toàn bộ web (như trong trường hợp HTTPS), giao thức này sẽ mang đến cơn ác mộng cho các sysadmins.

Sysadmins cần tìm cách chặn các dịch vụ DNS công cộng trong khi vẫn cho phép các máy chủ DNS nội bộ của họ sử dụng DoH. Điều này cần được thực hiện để duy trì hoạt động của thiết bị giám sát hiện tại và các chính sách hạn chế trong toàn tổ chức.

Nếu tôi có thiếu sót gì trong bài viết, vui lòng cho tôi biết ở phần bình luận bên dưới. Nếu bạn thích bài viết và biết được điều gì đó mới, hãy chia sẻ nó với bạn bè của bạn và trên phương tiện truyền thông xã hội và đăng ký nhận bản tin của chúng tôi.