A DNSCrypt jobb, mint a HTTPS-n keresztüli DNS?

Egyik sem jobb szigorúan. A DoH a tágabb szabvány, böngészőkben szállítják, és túléli a portblokkolást a 443-on való futtatásnak köszönhetően. A DNSCrypt alacsonyabb protokollráfordítással, natív támogatással rendelkezik az anonimizált relékhez, és gazdagabb referenciaklienssel rendelkezik. Ha ma anonimizált DNS-t szeretne egyetlen konfigurációmódosítással, a DNSCrypt továbbra is a legtisztább út.

A DNSCrypt használata lelassítja a böngészést?

Alig. A hitelesítés több tíz mikroszekundumnyi titkosítási munkát és egy extra UDP oda-vissza utat ad hozzá a munkamenet első lekérdezéséhez. A feloldótanúsítvány gyorsítótárazása után a lekérdezések nagyjából ugyanolyan késleltetésűek, mint a sima DNS esetében. Az anonimizált DNSCrypt még egy ugrást ad hozzá, ami néhány milliszekundumot ad hozzá.

Az internetszolgáltatóm továbbra is láthatja a DNS-lekérdezéseimet a DNSCrypt segítségével?

Nem, nem a tartalom. Titkosított UDP-t vagy TCP-t látnak a feloldó IP-címéhez. Továbbra is láthatják, hogy melyik megoldóval beszélsz. Ha a cél a lekérdezések és a feloldóválasztás elrejtése, futtassa a DNSCrypt-et VPN-en keresztül.

A DNSCrypt megakadályozza a DNS-eltérítést?

Igen az útközbeni eltérítéshez – a feloldó tanúsítványt az ügyfél ellenőrzi, így a beadott vagy hamisított válaszokat észleli és eldobja. Nem véd az ellenséges chosen feloldó vagy a domain regisztrátor feltörése ellen a mérvadó oldalon; tekintse meg DNS-eltérítésről szóló cikkünket a teljes támadási felületért.

A DNSCrypt még mindig fejlesztés alatt áll?

Igen. A dnscrypt-proxy rendszeresen szállítja a kiadásokat, és a protokoll anonimizált továbbító funkciója még 2019-ben bekerült. Már nem ez az egyetlen titkosított DNS-lehetőség, de a karbantartók folyamatosan fejlesztik a tőle függő felhasználói bázis számára.

DNSCrypt: Az eredeti titkosított DNS-protokoll és miért számít még mindig

Mielőtt a HTTPS-n keresztüli DNS a titkosított DNS-t általánossá tette volna, a DNSCrypt volt az egyetlen széles körben alkalmazott lehetőség a névfeloldás titkosságának megőrzésére. Továbbra is a pfSense-szel, a Pi-hole DoH-proxyjával és számos Linux-disztribúcióval szállítják, és a protokoll tervezési lehetőségei – névtelen relék, szervertanúsítvány-rotáció, TLS-feltöltés nélkül – még most is érdekessé teszik.

A cikk teljes szövege alább olvasható angol nyelven.

DNSCrypt-et Frank Denis OpenDNS-mérnök hozta létre 2011-ben az ügyfél és a feloldó közötti DNS-lekérdezések titkosítására és hitelesítésére. Az 1983-as egyszerű DNS-protokollnak egyáltalán nincs hitelesítése: a lekérdezés egy UDP-csomag, és az elérési úton lévő bármely eszköz képes elolvasni, módosítani a választ, vagy hamisítani a választ. A DNSCrypt mindkét problémát kijavította évekkel azelőtt, hogy az DNS HTTPS-en keresztül létezett volna.

A protokoll egy bekezdésben

Az ügyfél lekér egy aláírt certificate-et a feloldótól, amely hirdeti a rövid távú nyilvános kulcsát és a támogatott titkosításokat. A kliens ezután minden lekérdezést X25519 + XChaCha20-Poly1305 vagy XSalsa20-Poly1305 kóddal titkosít, és a 443-as porton (vagy az 53-as DNSCrypt varázsbájtokkal) elküldi a feloldónak. A feloldó dekódolja, megkeresi a választ, titkosítja a választ, és visszaküldi. Az ideiglenes tanúsítvány gyakran váltakozik, így a kulcskompromittálódásnak korlátozott hatása van.

DNSCrypt vs DoH vs DoT

Mindhárom titkosítja a lekérdezést. A különbségek pragmatikusak:

DNSCrypt: egyéni protokoll, alacsony terhelés, támogatja az anonimizált reléket a dobozból, DNSCrypt-tudatos kliens szükséges.
DNS: Transzparens 8-as TLS-porton TLS (TZDo 8-as porton) hálózatokra, de könnyen blokkolható a port bezárásával.
DNS HTTPS-n (DoH): lekérdezések HTTPS-en keresztül a 443-as porton, nem különböztethető meg a webes forgalomtól, nehéz blokkolni az internet megszakítása nélkül.

DoH nyerte a leggyakrabban használt portot. Internet. A DNSCrypt továbbra is megmarad, mivel a DoH nem rendelkezik működési funkciókkal, különösen az anonimizált továbbítókkal.

Anonimizált DNSCrypt: elválasztja, hogy kit kérdezett a kérdezetttől.

A gyilkos funkció Anonimizált DNSCrypt1,9 hozzáadva az APLZ3query-hez.9 kettős titkosítás: a külső réteg a relé számára, a belső réteg a feloldó számára. A relé dekódolja a külső réteget, csak a feloldó címét látja (a kérdést nem), és továbbítja a belső rejtjelezett szöveget. A feloldó dekódolja a belső réteget, látja a kérdést, de nem az eredeti kliens IP-t. Mindaddig, amíg a közvetítőt és a feloldót különböző felek üzemeltetik, és nem játsszák össze egymással, egyikük sem tudja egyedül összekapcsolni a felhasználót a lekérdezéssel.

Ez ugyanaz az adatvédelmi tulajdonság, mint az Apple Oblivious DNS over HTTPS (ODoH), de sokkal nagyobb független DNSCrypt a szállította először nyilvános feloldók és támogatási listák. világszerte.

A kliens tájkép

dnscrypt-proxy a referenciakliens – egyetlen Go bináris, amely Linuxon, macOS-en, Windowson, OpenBSD-n és FreeBSD-n fut. Elfogadja a sima DNS-t a localhost-on, továbbít egy konfigurált feloldóhoz DNSCrypt vagy DoH segítségével, támogatja a szűrést, a blokkolást, a lekérdezések naplózását és a terheléselosztást a feloldók között. Az pfSense és az OPNsense csomagban szállítják. A Pi-hole támogatja a DNSCrypt-et a dnscrypt-proxy-n keresztül upstreamként.

A feloldó oldalon a nyilvános DNSCrypt-kompatibilis feloldók közé tartozik a Cisco OpenDNS, a NextDNS, a Quad9, az AdGuard és több tucat kisebb, közösségi irányítású csomópont. A karbantartott lista az dnscrypt-resolvers lerakatban található.

Mit nem old meg a DNSCrypt

A DNS titkosítása nem teszi priváttá a böngészést. Minden HTTPS-kapcsolat célhelye látható a hálózat számára a TLS-kiszolgálónév-jelzés (SNI) mezőben – ezért számít az titkosított ügyfél Hello. A DNSCrypt sem segít a rosszindulatú feloldó ellen: ha a dnscrypt-proxy-t egy mindent naplózó feloldóra irányítasz, a feloldó továbbra is rendelkezik a lekérdezésekkel. A protokoll éppen azt akadályozza meg, hogy az úton lévő megfigyelők lássák őket.

Ahol a DNSCrypt illeszkedik 2026

A legtöbb felhasználó számára elegendő az operációs rendszer vagy a böngésző beépített DoH-ja. Azok számára, akik saját infrastruktúrájukat üzemeltetik – otthoni laborok, kisvállalkozások, adatvédelmi központú útválasztók – továbbra is a dnscrypt-proxy a legrugalmasabb választás. Az anonimizált relék, az egyszerű terheléselosztás és az offline ellenőrizhető feloldótanúsítványok kombinációját nehéz összehozni.

Gyakran ismételt kérdések

A DNSCrypt jobb, mint a HTTPS-n keresztüli DNS?: Egyik sem jobb szigorúan. A DoH a tágabb szabvány, böngészőkben szállítják, és túléli a portblokkolást a 443-on való futtatásnak köszönhetően. A DNSCrypt alacsonyabb protokollráfordítással, natív támogatással rendelkezik az anonimizált relékhez, és gazdagabb referenciaklienssel rendelkezik. Ha ma anonimizált DNS-t szeretne egyetlen konfigurációmódosítással, a DNSCrypt továbbra is a legtisztább út.
A DNSCrypt használata lelassítja a böngészést?: Alig. A hitelesítés több tíz mikroszekundumnyi titkosítási munkát és egy extra UDP oda-vissza utat ad hozzá a munkamenet első lekérdezéséhez. A feloldótanúsítvány gyorsítótárazása után a lekérdezések nagyjából ugyanolyan késleltetésűek, mint a sima DNS esetében. Az anonimizált DNSCrypt még egy ugrást ad hozzá, ami néhány milliszekundumot ad hozzá.
Az internetszolgáltatóm továbbra is láthatja a DNS-lekérdezéseimet a DNSCrypt segítségével?: Nem, nem a tartalom. Titkosított UDP-t vagy TCP-t látnak a feloldó IP-címéhez. Továbbra is láthatják, hogy melyik megoldóval beszélsz. Ha a cél a lekérdezések és a feloldóválasztás elrejtése, futtassa a DNSCrypt-et VPN-en keresztül.
A DNSCrypt megakadályozza a DNS-eltérítést?: Igen az útközbeni eltérítéshez – a feloldó tanúsítványt az ügyfél ellenőrzi, így a beadott vagy hamisított válaszokat észleli és eldobja. Nem véd az ellenséges <em>chosen</em> feloldó vagy a domain regisztrátor feltörése ellen a mérvadó oldalon; tekintse meg <a href="/learning/dns-hijacking">DNS-eltérítésről szóló cikkünket</a> a teljes támadási felületért.
A DNSCrypt még mindig fejlesztés alatt áll?: Igen. A dnscrypt-proxy rendszeresen szállítja a kiadásokat, és a protokoll anonimizált továbbító funkciója még 2019-ben bekerült. Már nem ez az egyetlen titkosított DNS-lehetőség, de a karbantartók folyamatosan fejlesztik a tőle függő felhasználói bázis számára.