Adakah DNSCrypt lebih baik daripada DNS melalui HTTPS?

Kedua-duanya tidak lebih baik. DoH ialah piawaian yang lebih luas, dihantar dalam penyemak imbas, dan bertahan dari sekatan pelabuhan berkat berjalan pada 443. DNSCrypt mempunyai overhed protokol yang lebih rendah, sokongan asli untuk geganti tanpa nama dan klien rujukan yang lebih kaya. Jika anda mahukan DNS tanpa nama hari ini dengan satu perubahan konfigurasi, DNSCrypt masih merupakan laluan paling bersih.

Adakah menggunakan DNSCrypt melambatkan penyemakan imbas saya?

Hampir tidak. Pengesahan menambah puluhan mikrosaat kerja kripto dan satu UDP ulang-alik tambahan pada pertanyaan pertama sesi. Setelah sijil penyelesai dicache, pertanyaan adalah kira-kira kependaman yang sama seperti DNS biasa. DNSCrypt tanpa nama menambah satu lompatan lagi, yang menambahkan beberapa milisaat.

Bolehkah ISP saya masih melihat pertanyaan DNS saya dengan DNSCrypt?

Tidak, bukan kandungannya. Mereka melihat UDP atau TCP yang disulitkan ke IP penyelesai. Mereka masih boleh melihat penyelesai yang anda bercakap. Jika matlamatnya adalah untuk menyembunyikan kedua-dua pertanyaan dan pilihan penyelesai, jalankan DNSCrypt melalui VPN.

Adakah DNSCrypt menghalang rampasan DNS?

Ya untuk rampasan jalan — sijil penyelesai disahkan oleh klien, jadi respons yang disuntik atau palsu dikesan dan digugurkan. Ia tidak melindungi daripada penyelesai chosen yang bermusuhan atau rampasan pendaftar domain di pihak yang berwibawa; lihat artikel rampasan DNS kami untuk permukaan serangan penuh.

Adakah DNSCrypt masih dibangunkan?

ya. dnscrypt-proxy ships dikeluarkan secara tetap, dan ciri geganti tanpa nama protokol telah ditambahkan seawal 2019. Ia bukan lagi satu-satunya pilihan DNS yang disulitkan, tetapi penyelenggara terus menambah baiknya untuk pangkalan pengguna yang bergantung padanya.

DNSCrypt: Protokol DNS Disulitkan Asal dan Mengapa Ia Masih Penting

Sebelum DNS melalui HTTPS membuat arus perdana DNS yang disulitkan, DNSCrypt ialah satu-satunya pilihan yang digunakan secara meluas untuk memastikan resolusi nama peribadi. Ia masih dihantar dengan pfSense, proksi DoH Pi-hole dan beberapa pengedaran Linux, dan pilihan reka bentuk protokol — geganti tanpa nama, putaran sijil pelayan, tiada overhed TLS — menjadikannya menarik walaupun sekarang.

Badan artikel penuh disediakan dalam bahasa Inggeris di bawah.

DNSCrypt telah dicipta oleh jurutera OpenDNS Frank Denis pada tahun 2011 untuk menyulitkan dan mengesahkan pertanyaan DNS antara pelanggan dan penyelesai. Protokol DNS biasa dari 1983 tidak mempunyai pengesahan sama sekali: pertanyaan ialah paket UDP, dan mana-mana peranti pada laluan boleh membacanya, mengubah suai respons atau memalsukan jawapan. DNSCrypt membetulkan kedua-dua masalah beberapa tahun sebelum DNS melalui HTTPS wujud.

Protokol dalam satu perenggan

Pelanggan mengambil certificate yang ditandatangani daripada penyelesai yang mengiklankan kunci awam jangka pendeknya dan sifir yang disokong. Pelanggan kemudiannya menyulitkan setiap pertanyaan dengan X25519 + XChaCha20-Poly1305 atau XSalsa20-Poly1305 dan menghantarnya kepada penyelesai pada port 443 (atau 53 dengan bait ajaib DNSCrypt). Penyelesai menyahsulit, mencari jawapan, menyulitkan respons dan mengembalikannya. Sijil ephemeral berputar dengan kerap jadi kompromi utama mempunyai kesan terhad.

DNSCrypt vs DoH vs DoT

Ketiga-tiga menyulitkan pertanyaan. Perbezaannya adalah pragmatik:

DNSCrypt: protokol tersuai, overhed rendah, menyokong geganti tanpa nama di luar kotak, memerlukan pelanggan DNSCrypt-aware.
DNS melalui TLS8XPLLS standard (DoT3) pada rangkaian TLS8XPLLS (DoT): tetapi disekat dengan mudah dengan menutup port tersebut.
DNS melalui HTTPS (DoH): pertanyaan melalui HTTPS pada port 443, tidak dapat dibezakan daripada trafik web, sukar untuk disekat tanpa melanggar Internet.

DoH memenangi kebanyakannya dalam perlumbaan standard pada port Internet. DNSCrypt berterusan kerana ciri operasi yang tidak ada pada DoH, terutamanya relay tanpa nama.

Anonymized DNSCrypt: memisahkan siapa yang ditanya daripada apa yang ditanya

Ciri pembunuh ialah Anonymized DNSCrypt1, ditambah dalam queryed DNSCrypt1. lapisan luar untuk geganti, lapisan dalam untuk penyelesai. Relay menyahsulit lapisan luar, hanya melihat alamat penyelesai (bukan soalan), dan memajukan teks sifir dalam. Penyelesai menyahsulit lapisan dalam, melihat soalan tetapi bukan IP klien asal. Selagi penyampai dan penyelesai dikendalikan oleh pihak yang berbeza dan tidak bersekongkol, tidak seorang pun boleh memautkan pengguna kepada pertanyaan.

Ini adalah sifat privasi yang sama seperti Oblivious DNS Apple melalui HTTPS (ODoH), tetapi DNSCrypt menghantarnya terlebih dahulu dan menyokong senarai relay bebas yang lebih besar dan menyokong relay yang lebih besar. di seluruh dunia.

Laskap pelanggan

dnscrypt-proxy ialah klien rujukan — perduaan Go tunggal yang berjalan pada Linux, macOS, Windows, OpenBSD dan FreeBSD. Ia menerima DNS biasa pada localhost, memajukan kepada penyelesai yang dikonfigurasikan melalui DNSCrypt atau DoH, menyokong penapisan, penyekatan, pengelogan pertanyaan dan pengimbangan beban merentas penyelesai. pfSense dan OPNsense menghantarnya sebagai pakej. Pi-hole menyokong DNSCrypt melalui dnscrypt-proxy sebagai huluan.

Di bahagian penyelesai, penyelesai didayakan DNSCrypt awam termasuk Cisco OpenDNS, NextDNS, Quad9, AdGuard dan berdozen nod yang dikendalikan komuniti yang lebih kecil. Senarai yang diselenggarakan berada dalam repositori dnscrypt-resolvers.

Apa yang tidak diselesaikan oleh DNSCrypt

DNS yang menyulitkan tidak menjadikan penyemakan imbas anda peribadi. Destinasi setiap sambungan HTTPS boleh dilihat oleh rangkaian dalam medan TLS ServerName Indication (SNI) — itulah sebabnya Hello Pelanggan Encrypted Client penting. DNSCrypt juga tidak membantu terhadap penyelesai yang berniat jahat: jika anda menghalakan dnscrypt-proxy pada penyelesai yang merekodkan segala-galanya, penyelesai masih mempunyai pertanyaan anda. Protokol hanya menghalang pemerhati atas laluan daripada melihat mereka.

Di mana DNSCrypt sesuai dengan 2026

Bagi kebanyakan pengguna, OS atau DoH terbina dalam penyemak imbas sudah memadai. Bagi orang yang menjalankan infrastruktur mereka sendiri — homelabs, perniagaan kecil, penghala yang memfokuskan privasi — dnscrypt-proxy masih merupakan pilihan yang paling fleksibel. Gabungan geganti tanpa nama, pengimbangan beban mudah dan sijil penyelesai yang boleh disahkan luar talian sukar dipadankan.

Soalan lazim

Adakah DNSCrypt lebih baik daripada DNS melalui HTTPS?: Kedua-duanya tidak lebih baik. DoH ialah piawaian yang lebih luas, dihantar dalam penyemak imbas, dan bertahan dari sekatan pelabuhan berkat berjalan pada 443. DNSCrypt mempunyai overhed protokol yang lebih rendah, sokongan asli untuk geganti tanpa nama dan klien rujukan yang lebih kaya. Jika anda mahukan DNS tanpa nama hari ini dengan satu perubahan konfigurasi, DNSCrypt masih merupakan laluan paling bersih.
Adakah menggunakan DNSCrypt melambatkan penyemakan imbas saya?: Hampir tidak. Pengesahan menambah puluhan mikrosaat kerja kripto dan satu UDP ulang-alik tambahan pada pertanyaan pertama sesi. Setelah sijil penyelesai dicache, pertanyaan adalah kira-kira kependaman yang sama seperti DNS biasa. DNSCrypt tanpa nama menambah satu lompatan lagi, yang menambahkan beberapa milisaat.
Bolehkah ISP saya masih melihat pertanyaan DNS saya dengan DNSCrypt?: Tidak, bukan kandungannya. Mereka melihat UDP atau TCP yang disulitkan ke IP penyelesai. Mereka masih boleh melihat penyelesai yang anda bercakap. Jika matlamatnya adalah untuk menyembunyikan kedua-dua pertanyaan dan pilihan penyelesai, jalankan DNSCrypt melalui VPN.
Adakah DNSCrypt menghalang rampasan DNS?: Ya untuk rampasan jalan — sijil penyelesai disahkan oleh klien, jadi respons yang disuntik atau palsu dikesan dan digugurkan. Ia tidak melindungi daripada penyelesai <em>chosen</em> yang bermusuhan atau rampasan pendaftar domain di pihak yang berwibawa; lihat artikel rampasan <a href="/learning/dns-hijacking">DNS kami</a> untuk permukaan serangan penuh.
Adakah DNSCrypt masih dibangunkan?: ya. dnscrypt-proxy ships dikeluarkan secara tetap, dan ciri geganti tanpa nama protokol telah ditambahkan seawal 2019. Ia bukan lagi satu-satunya pilihan DNS yang disulitkan, tetapi penyelenggara terus menambah baiknya untuk pangkalan pengguna yang bergantung padanya.