Что такое DNS-over-HTTPS и зачем он нужен
DNS-over-HTTPS (DoH) шифрует DNS-запросы между вашим компьютером и DNS-сервером. Это блокирует перехват трафика провайдером, маршрутизатором или злоумышленниками в публичной сети. В Windows 11 2025 года DoH встроен в систему, не требует сторонних программ и работает с любым браузером или приложением.
Без DoH каждый запрос к сайту передаётся в открытом виде. Провайдер видит, какие домены вы открываете, даже если сам сайт использует HTTPS. DoH скрывает эту информацию, оставляя видимыми лишь IP-адреса серверов, что существенно повышает приватность.
Как проверить текущий DNS-сервер в Windows 11
Откройте PowerShell от имени администратора и выполните команду Get-DnsClientServerAddress -AddressFamily IPv4. В колонке ServerAddresses отобразятся IP-адреса DNS, которые получил ваш компьютер от роутера или провайдера. Запишите их, чтобы вернуться к исходным настройкам при необходимости.
Дополнительно можно ввести nslookup -type=txt debug.opendns.com. В ответе будет строка server с IP-адресом, который фактически обрабатывает запросы. Сравните его с предыдущим списком, чтобы убедиться, что изменения применились.
Какие DNS-провайдеры поддерживают DoH в 2025 году
Microsoft официально поддерживает четыре провайдера: Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9 (9.9.9.9) и OpenDNS (208.67.222.222). Все они предоставляют шифрование AES-256, отказоустойчивость и политику «без логов» или ограниченное логирование.
Cloudflare обещает удаление логов через 24 часа и поддерживает протокол ESNI, Google предлагает минимальное логирование для диагностики, Quad9 блокирует известные вредоносные домены, а OpenDNS добавляет родительский контроль. Выбор зависит от ваших приоритетов: скорость, безопасность или дополнительные фильтры.
Как включить DoH через параметры Windows 11
Зайдите в «Параметры» → «Сеть и Интернет» → «Wi-Fi» или «Ethernet» → «Свойства оборудования». Нажмите «Изменить параметры адаптера», затем «Просмотр дополнительных свойств» → «Изменить параметры TCP/IPv4». Установите «Получить DNS-адрес автоматически» и вернитесь назад.
Теперь включите переключатель «DNS-over-HTTPS» и выберите провайдера из выпадающего списка. Нажмите «Сохранить» и перезапустите браузер. Windows 11 автоматически подставит шаблон URL-адреса DoH и ключ шифрования для выбранного сервиса.
Как настроить DoH через PowerShell
Откройте PowerShell от имени администратора и выполните команду Set-DnsClientDohServerAddress -ServerAddress "1.1.1.1" -DohTemplate "https://cloudflare-dns.com/dns-query" -AllowFallbackToUdp $False -AutoUpgrade $True. Замените IP и URL на нужный провайдер. Параметр AutoUpgrade заставляет Windows переключиться на DoH при первом же запросе.
Для проверки введите Get-DnsClientDohServerAddress. В таблице должны появиться строки с EnableDoH : True. Если статус False, выполните команду ещё раз и убедитесь, что используете правильный шаблон URL.
Как проверить, работает ли DoH
Откройте браузер и перейдите на https://1.1.1.1/help или https://dns.google/resolve?name=example.com&type=A. Если DoH активен, страница покажет статус «Using DNS over HTTPS» и IP-адрес вашего DNS-провайдера.
Дополнительно установите расширение DNS Leak Test для Firefox или Chrome и запустите тест. В списке серверов должен отображаться только выбранный DoH-провайдер, а не адреса вашего интернет-провайдера или роутера.
Что делать, если сайты перестали открываться
Иногда DoH-сервер временно недоступен. Откройте PowerShell и выполните Set-DnsClientDohServerAddress -ServerAddress "1.1.1.1" -AllowFallbackToUdp $True. Это разрешит системе использовать обычный UDP-DNS при сбое DoH.
Если проблема сохраняется, вернитесь в «Параметры» → «Сеть и Интернет» и отключите переключатель «DNS-over-HTTPS». Затем попробуйте другой провайдер: например, Quad9 вместо Cloudflare. Некоторые регионы блокируют IP-адреса популярных DoH-серверов.
Как отключить DoH и вернуться к обычному DNS
В «Параметрах» найдите активное подключение, нажмите «Изменить параметры адаптера» и выключите переключатель «DNS-over-HTTPS». Система автоматически вернётся к DNS, полученному от роутера или провайдера.
Если вы использовали PowerShell, выполните Remove-DnsClientDohServerAddress -ServerAddress "1.1.1.1" для каждого добавленного IP. После этого перезагрузите компьютер, чтобы изменения вступили в силу полностью.
Как настроить DoH для IPv6
Windows 11 поддерживает DoH и для IPv6. В PowerShell выполните Set-DnsClientDohServerAddress -ServerAddress "2606:4700:4700::1111" -DohTemplate "https://cloudflare-dns.com/dns-query" -AllowFallbackToUdp $False -AutoUpgrade $True. Адрес 2606:4700:4700::1111 — это IPv6 Cloudflare.
Убедитесь, что ваш провайдер и роутер передают IPv6 без NAT64. Проверьте доступность командой ping 2606:4700:4700::1111. Если пакеты теряются, оставьте IPv4-DoH и отключите IPv6 в свойствах адаптера, чтобы избежать конфликтов.
Какие логи остаются при использовании DoH
DoH скрывает запросы от провайдера, но сам DNS-провайдер всё ещё видит, какие домены вы запрашиваете. Cloudflare и Google обещают удалять или анонимизировать логи, однако полной анонимности не существует. Для максимальной приватности используйте VPN поверх DoH.
Windows 11 не хранит журнал DNS-запросов по умолчанию, но включите аудит командой auditpol /set /subcategory:"DNS Client" /success:enable, если нужно отслеживать активность в корпоративной сети. Обычным пользователям это не требуется.
Дополнительные советы по безопасности DNS
Обновите прошивку роутера до последней версии 2025 года, чтобы закрыть уязвимости DNS hijacking. Отключите DNS-проксирование на роутере, если он перенаправляет запросы на собственные серверы.
Используйте антивирус с модулем DNS-фильтрации, например, Windows Defender SmartScreen. Он работает совместно с DoH и блокирует фишинговые сайты на уровне доменного имени, не раскрывая ваши запросы посторонним сервисам.