Je li DNSCrypt bolji od DNS-a preko HTTPS-a?

Niti jedno nije striktno bolje. DoH je širi standard, isporučuje se u preglednicima i preživljava blokiranje portova zahvaljujući radu na 443. DNSCrypt ima niže troškove protokola, izvornu podršku za anonimizirane releje i bogatiji referentni klijent. Ako danas želite anonimizirani DNS s jednom promjenom konfiguracije, DNSCrypt je još uvijek najčišći put.

Hoće li korištenje DNSCrypta usporiti moje pregledavanje?

Jedva. Provjera autentičnosti dodaje desetke mikrosekundi kripto rada i jedno dodatno UDP povratno putovanje na prvi upit sesije. Nakon što se certifikat razrješitelja pohrani u predmemoriju, upiti imaju približno istu latenciju kao i obični DNS. Anonimizirani DNSCrypt dodaje još jedan skok, što dodaje nekoliko milisekundi.

Može li moj ISP i dalje vidjeti moje DNS upite uz DNSCrypt?

Ne, ne sadržaj. Oni vide šifrirani UDP ili TCP prema IP-u razlučivača. I dalje mogu vidjeti s kojim razrješivačem razgovarate. Ako je cilj sakriti i upite i izbor razrješitelja, pokrenite DNSCrypt preko VPN-a.

Sprečava li DNSCrypt otmicu DNS-a?

Da za on-path hijacking — certifikat razrjeđivača provjerava klijent, tako da se umetnuti ili lažirani odgovori otkrivaju i odbacuju. Ne štiti od neprijateljskog chosen rješavača ili otmice registra domene na autoritativnoj strani; pogledajte naš DNS članak o otmici za cijelu površinu napada.

Da li se DNSCrypt još razvija?

Da. dnscrypt-proxy redovito isporučuje izdanja, a značajka anonimiziranog prijenosa protokola dodana je tek 2019. To više nije jedina kriptirana DNS opcija, ali je održavatelji nastavljaju poboljšavati za bazu korisnika koja o njoj ovisi.

DNSCrypt: Izvorni šifrirani DNS protokol i zašto je još uvijek važan

Prije nego što je DNS preko HTTPS-a učinio kriptirani DNS mainstreamom, DNSCrypt je bio jedina široko rasprostranjena opcija za zadržavanje privatnosti razlučivanja imena. I dalje se isporučuje s pfSenseom, Pi-holeovim DoH proxyjem i nekoliko distribucija Linuxa, a odabiri dizajna protokola — anonimizirani releji, rotacija certifikata poslužitelja, bez TLS dodatnih troškova — čine ga zanimljivim čak i sada.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

DNSCrypt kreirao je OpenDNS inženjer Frank Denis 2011. za šifriranje i autentifikaciju DNS upita između klijenta i razrješavača. Obični DNS protokol iz 1983. nema nikakvu provjeru autentičnosti: upit je UDP paket i bilo koji uređaj na putu može ga pročitati, modificirati odgovor ili krivotvoriti odgovor. DNSCrypt je popravio oba problema godinama prije nego što je postojao DNS preko HTTPS.

Protokol u jednom odlomku

Klijent dohvaća potpisani certifikat iz razrjeđivača reklamirajući svoj kratkoročni javni ključ i podržane šifre. Klijent zatim kriptira svaki upit s X25519 + XChaCha20-Poly1305 ili XSalsa20-Poly1305 i šalje ga razrjeđivaču na priključku 443 (ili 53 s čarobnim bajtovima DNSCrypt). Razrešivač dekriptira, traži odgovor, šifrira odgovor i vraća ga. Efemerni certifikat često se izmjenjuje tako da kompromis ključa ima ograničen učinak.

DNSCrypt vs DoH vs DoT

Sva tri enkriptiraju upit. Razlike su pragmatične:

DNSCrypt: prilagođeni protokol, niski troškovi, podržava anonimizirane releje odmah nakon postavljanja, zahtijeva klijent koji podržava DNSCrypt.
DNS preko TLS-a (DoT): standardni TLS na portu 853, transparentan za mreže, ali se lako blokiraju zatvaranjem tog porta.
DNS preko HTTPS-a (DoH): upiti preko HTTPS-a na portu 443, ne razlikuju se od web prometa, teško ih je blokirati bez prekidanja interneta.

DoH je pobijedio u utrci standarda jer se oslanja na najkorišteniji port na Internetu. DNSCrypt postoji zbog operativnih značajki koje DoH nema, posebno anonimiziranih releja.

Anonimizirani DNSCrypt: odvajanje tko je pitao od onoga što je pitano

Ubojita značajka je Anonimizirani DNSCrypt, dodan 2019. Upit je dvostruko šifrirano: vanjski sloj za relej, unutarnji sloj za rezolver. Relej dekriptira vanjski sloj, vidi samo adresu razrješitelja (ne pitanje) i prosljeđuje unutarnji šifrirani tekst. Razrješivač dešifrira unutarnji sloj, vidi pitanje, ali ne i izvorni IP klijenta. Sve dok relejom i razrješavačem upravljaju različite strane i ako se ne dogovaraju, nijedna sama ne može povezati korisnika s upitom.

Ovo je isto svojstvo privatnosti kao i Appleov Oblivious DNS preko HTTPS (ODoH), ali DNSCrypt ga je prvi poslao i podržava puno veći javni popis releja i razrješivača, koji vode neovisni volonteri širom svijeta.

Klijentski krajolik

dnscrypt-proxy je referentni klijent — jedna Go binarna datoteka koja radi na Linuxu, macOS-u, Windowsu, OpenBSD-u i FreeBSD-u. Prihvaća običan DNS na lokalnom hostu, prosljeđuje konfiguriranom razlučivaču preko DNSCrypta ili DoH-a, podržava filtriranje, blokiranje, bilježenje upita i balansiranje opterećenja između razlučivača. pfSense i OPNsense isporučuju se kao paket. Pi-hole podržava DNSCrypt kroz dnscrypt-proxy kao upstream.

Na strani razrješitelja, javni razrješitelji s omogućenom DNSCryptom uključuju Cisco OpenDNS, NextDNS, Quad9, AdGuard i desetke manjih čvorova kojima upravlja zajednica. Održavani popis živi u repozitoriju dnscrypt-resolvers.

Što DNSCrypt ne rješava

Šifriranje DNS-a ne čini vaše pregledavanje privatnim. Odredište svake HTTPS veze vidljivo je mreži u polju TLS ServerName Indication (SNI) — zbog čega je Encrypted Client Hello bitan. DNSCrypt također ne pomaže protiv zlonamjernog razlučivača: ako usmjerite dnscrypt-proxy na razrješivač koji sve bilježi, razrješivač i dalje ima vaše upite. Protokol samo sprječava promatrače na putu da ih vide.

Gdje se DNSCrypt uklapa 2026

Za većinu korisnika dovoljan je DoH ugrađen u OS ili preglednik. Za ljude koji pokreću vlastitu infrastrukturu - kućne laboratorije, mala poduzeća, usmjerivače usmjerene na privatnost - dnscrypt-proxy još uvijek je najfleksibilniji izbor. Teško je uskladiti kombinaciju anonimiziranih releja, jednostavnog balansiranja opterećenja i izvanmrežno provjerljivih rezolverskih certifikata.

Često postavljana pitanja

Je li DNSCrypt bolji od DNS-a preko HTTPS-a?: Niti jedno nije striktno bolje. DoH je širi standard, isporučuje se u preglednicima i preživljava blokiranje portova zahvaljujući radu na 443. DNSCrypt ima niže troškove protokola, izvornu podršku za anonimizirane releje i bogatiji referentni klijent. Ako danas želite anonimizirani DNS s jednom promjenom konfiguracije, DNSCrypt je još uvijek najčišći put.
Hoće li korištenje DNSCrypta usporiti moje pregledavanje?: Jedva. Provjera autentičnosti dodaje desetke mikrosekundi kripto rada i jedno dodatno UDP povratno putovanje na prvi upit sesije. Nakon što se certifikat razrješitelja pohrani u predmemoriju, upiti imaju približno istu latenciju kao i obični DNS. Anonimizirani DNSCrypt dodaje još jedan skok, što dodaje nekoliko milisekundi.
Može li moj ISP i dalje vidjeti moje DNS upite uz DNSCrypt?: Ne, ne sadržaj. Oni vide šifrirani UDP ili TCP prema IP-u razlučivača. I dalje mogu vidjeti s kojim razrješivačem razgovarate. Ako je cilj sakriti i upite i izbor razrješitelja, pokrenite DNSCrypt preko VPN-a.
Sprečava li DNSCrypt otmicu DNS-a?: Da za on-path hijacking — certifikat razrjeđivača provjerava klijent, tako da se umetnuti ili lažirani odgovori otkrivaju i odbacuju. Ne štiti od neprijateljskog <em>chosen</em> rješavača ili otmice registra domene na autoritativnoj strani; pogledajte naš <a href="/learning/dns-hijacking">DNS članak o otmici </a> za cijelu površinu napada.
Da li se DNSCrypt još razvija?: Da. dnscrypt-proxy redovito isporučuje izdanja, a značajka anonimiziranog prijenosa protokola dodana je tek 2019. To više nije jedina kriptirana DNS opcija, ali je održavatelji nastavljaju poboljšavati za bazu korisnika koja o njoj ovisi.