Je DNSCrypt lepší ako DNS cez HTTPS?

Ani jedno nie je striktne lepšie. DoH je širší štandard, dodáva sa v prehliadačoch a prežije blokovanie portov vďaka spusteniu na 443. DNSCrypt má nižšiu protokolovú réžiu, natívnu podporu pre anonymizované prenosy a bohatšieho referenčného klienta. Ak chcete dnes anonymizovať DNS s jedinou zmenou konfigurácie, DNSCrypt je stále najčistejšia cesta.

Spomalí používanie DNSCrypt moje prehliadanie?

Sotva. Autentifikácia pridáva desiatky mikrosekúnd kryptopráce a jeden dodatočný spiatočný výlet UDP na prvý dotaz relácie. Po uložení certifikátu prekladača do vyrovnávacej pamäte majú dotazy približne rovnakú latenciu ako obyčajný DNS. Anonymizovaný DNSCrypt pridáva ešte jeden skok, ktorý pridáva niekoľko milisekúnd.

Môže môj ISP stále vidieť moje DNS dotazy pomocou DNSCrypt?

Nie, nie obsah. Vidia zašifrované UDP alebo TCP na IP adresu resolvera. Stále môžu vidieť, s ktorým prekladačom hovoríte. Ak je cieľom skryť dotazy aj výber prekladača, spustite DNSCrypt cez VPN.

Zabraňuje DNSCrypt únosu DNS?

Áno pre on-path hijacking – certifikát prekladača je overený klientom, takže vložené alebo sfalšované odpovede sú detekované a zrušené. Nechráni pred nepriateľským prekladačom chosen alebo napadnutím registrátora domény na autoritatívnej strane; pozrite si náš článok o únose DNS , kde nájdete celú plochu útoku.

Je DNSCrypt stále vo vývoji?

áno. dnscrypt-proxy sa vydáva pravidelne a funkcia anonymizovaného prenosu protokolu bola pridaná nedávno v roku 2019. Už to nie je jediná možnosť šifrovaného DNS, ale správcovia ju neustále vylepšujú pre používateľskú základňu, ktorá na nej závisí.

DNSCrypt: Pôvodný šifrovaný protokol DNS a prečo na ňom stále záleží

Predtým, ako sa DNS cez HTTPS stal hlavným prúdom šifrovaného DNS, DNSCrypt bol jedinou široko nasadenou možnosťou na udržanie súkromného prekladu mien. Stále sa dodáva s pfSense, serverom Pi-hole DoH proxy a niekoľkými distribúciami Linuxu a možnosti návrhu protokolu – anonymizované relé, rotácia serverových certifikátov, žiadna réžia TLS – ho robia zaujímavým aj teraz.

Celé telo článku je uvedené v angličtine nižšie.

DNSCrypt vytvoril inžinier OpenDNS Frank Denis v roku 2011 na šifrovanie a overovanie DNS dotazov medzi klientom a resolverom. Jednoduchý protokol DNS z roku 1983 nemá vôbec žiadnu autentifikáciu: dotaz je paket UDP a akékoľvek zariadenie na ceste ho môže prečítať, upraviť odpoveď alebo sfalšovať odpoveď. DNSCrypt opravil oba problémy roky predtým, ako existoval DNS cez HTTPS.

Protokol v jednom odseku

Klient získa podpísaný certifikát z resolvera, ktorý propaguje svoj krátkodobý verejný kľúč a podporované šifry. Klient potom zašifruje každý dotaz pomocou X25519 + XChaCha20-Poly1305 alebo XSalsa20-Poly1305 a odošle ho do resolvera na port 443 (alebo 53 pomocou magických bajtov DNSCrypt). Resolver dešifruje, vyhľadá odpoveď, zašifruje odpoveď a vráti ju. Dočasný certifikát sa často otáča, takže kompromis kľúča má obmedzený vplyv.

DNSCrypt vs DoH vs DoT

Všetky tri šifrujú dotaz. Rozdiely sú pragmatické:

DNSCrypt: vlastný protokol, nízka réžia, podporuje anonymizované prenosy hneď po vybalení, vyžaduje klienta s podporou DNSCrypt.
DNS cez siete TLS (DoT): TLS3 jednoducho blokovanie na štandardných sieťach X, TXPLZ2 zatvorením portuX ten port.
DNS cez HTTPS (DoH): Dopyty cez HTTPS na porte 443, na nerozoznanie od webového prenosu, ťažko blokovateľné bez narušenia internetu.

DoH zvíťazil v pretekoch štandardov, pretože najviac využíval porty na internete. DNSCrypt pretrváva kvôli prevádzkovým funkciám, ktoré DoH nemá, najmä anonymizovaným relé.

Anonymizovaný DNSCrypt: oddelenie toho, kto sa pýtal od toho, čo sa pýtal

Zabíjačskou vlastnosťou je Anonymizovaný DNSCrypt

, pridaná vonkajšia vrstva je dvojitá Acrypted216X. pre relé, vnútorná vrstva pre resolver. Relé dešifruje vonkajšiu vrstvu, vidí iba adresu resolvera (nie otázku) a prepošle vnútorný šifrovaný text. Resolver dešifruje vnútornú vrstvu, vidí otázku, ale nie pôvodnú IP klienta. Pokiaľ relé a resolver prevádzkujú rôzne strany a nedohodnú sa, ani jedna z nich nemôže prepojiť používateľa s dotazom.

Toto je rovnaké vlastníctvo ochrany osobných údajov ako Oblivious DNS cez HTTPS (ODoH), ale DNSCrypt ho dodáva ako prvý a podporuje oveľa väčší verejný zoznam poskytovateľov prenosov celosvetovo.

Klientská krajina

dnscrypt-proxy je referenčný klient – jediný Go binárny súbor, ktorý beží na Linuxe, macOS, Windows, OpenBSD a FreeBSD. Akceptuje obyčajný DNS na lokálnom hostiteľovi, preposiela ho do nakonfigurovaného prekladača cez DNSCrypt alebo DoH, podporuje filtrovanie, blokovanie, protokolovanie dotazov a vyvažovanie záťaže medzi prekladačmi. pfSense a OPNsense ho dodávajú ako balík. Pi-hole podporuje DNSCrypt cez dnscrypt-proxy ako upstream.

Na strane resolvera, verejné prekladače s podporou DNSCrypt zahŕňajú Cisco OpenDNS, NextDNS, Quad9, AdGuard a desiatky menších uzlov prevádzkovaných komunitou. Udržiavaný zoznam sa nachádza v úložisku dnscrypt-resolvers.

Čo DNSCrypt nerieši

Šifrovanie DNS nerobí vaše prehliadanie súkromným. Cieľ každého pripojenia HTTPS je viditeľný pre sieť v poli TLS ServerName Indication (SNI) – preto je dôležitý šifrovaný klient Hello. DNSCrypt tiež nepomôže proti škodlivému resolveru: ak nasmerujete dnscrypt-proxy na resolver, ktorý všetko zaprotokoluje, resolver má stále vaše dotazy. Protokol len bráni pozorovateľom na ceste, aby ich videli.

Kde sa hodí DNSCrypt 2026

Väčšine používateľov stačí DoH zabudované v OS alebo prehliadači. Pre ľudí, ktorí prevádzkujú svoju vlastnú infraštruktúru – domáce laboratóriá, malé podniky, smerovače zamerané na súkromie – je dnscrypt-proxy stále najflexibilnejšou voľbou. Kombinácia anonymizovaných relé, jednoduchého vyvažovania záťaže a offline overiteľných certifikátov prekladača je ťažké nájsť.

Často kladené otázky

Je DNSCrypt lepší ako DNS cez HTTPS?: Ani jedno nie je striktne lepšie. DoH je širší štandard, dodáva sa v prehliadačoch a prežije blokovanie portov vďaka spusteniu na 443. DNSCrypt má nižšiu protokolovú réžiu, natívnu podporu pre anonymizované prenosy a bohatšieho referenčného klienta. Ak chcete dnes anonymizovať DNS s jedinou zmenou konfigurácie, DNSCrypt je stále najčistejšia cesta.
Spomalí používanie DNSCrypt moje prehliadanie?: Sotva. Autentifikácia pridáva desiatky mikrosekúnd kryptopráce a jeden dodatočný spiatočný výlet UDP na prvý dotaz relácie. Po uložení certifikátu prekladača do vyrovnávacej pamäte majú dotazy približne rovnakú latenciu ako obyčajný DNS. Anonymizovaný DNSCrypt pridáva ešte jeden skok, ktorý pridáva niekoľko milisekúnd.
Môže môj ISP stále vidieť moje DNS dotazy pomocou DNSCrypt?: Nie, nie obsah. Vidia zašifrované UDP alebo TCP na IP adresu resolvera. Stále môžu vidieť, s ktorým prekladačom hovoríte. Ak je cieľom skryť dotazy aj výber prekladača, spustite DNSCrypt cez VPN.
Zabraňuje DNSCrypt únosu DNS?: Áno pre on-path hijacking – certifikát prekladača je overený klientom, takže vložené alebo sfalšované odpovede sú detekované a zrušené. Nechráni pred nepriateľským prekladačom <em>chosen</em> alebo napadnutím registrátora domény na autoritatívnej strane; pozrite si náš článok o únose <a href="/learning/dns-hijacking">DNS</a>, kde nájdete celú plochu útoku.
Je DNSCrypt stále vo vývoji?: áno. dnscrypt-proxy sa vydáva pravidelne a funkcia anonymizovaného prenosu protokolu bola pridaná nedávno v roku 2019. Už to nie je jediná možnosť šifrovaného DNS, ale správcovia ju neustále vylepšujú pre používateľskú základňu, ktorá na nej závisí.