Инсайдеры Windows 11 могут протестировать «DNS через TLS»

DNS поверх TLS (DoT) — это зашифрованный протокол DNS, который является альтернативой DNS поверх HTTPS (DoH). В то время как DoH рассматривает DNS-трафик как еще один поток данных HTTPS через порт 443, DoT выделяет порт 853 для зашифрованного DNS-трафика и работает непосредственно через туннель TLS без подслоя HTTP. Это может привести к небольшому повышению производительности в зависимости от сетевой среды за счет гибкости, которую могут обеспечить протоколы на основе HTTPS.

Ранее в Windows 11 и Windows Server 2022 была добавлена клиентская поддержка DoH. Начиная с сегодняшнего дня, последние сборки Windows Insider также предлагают клиентскую поддержку DoT.

Как включить шифрование DNS-over-TLS в Windows 11

Прежде всего, убедитесь, что у вас установлена новейшая сборка Windows Insider Preview (Build 25158 и выше). В стабильных сборках DoT пока не поддерживается.

Затем нужно настроить DNS резольвер, предоставляющий DoTd качестве основного и единственного преобразователя DNS. Это можно сделать, используя следующую инструкцию:

• Перейдите в приложение Параметры > Сеть и Интернет. Должно загрузиться представление для текущего сетевого подключения по умолчанию.
• Нажмите на Wi-Fi или Ethernet (в верхнем области)

• Нажмите Свойства оборудования (в нижней области)

• В строке Назначение DNS-сервера: нажмите кнопку Изменить.

• Включите переключатели IPv4 и/или IPv6.
• Введите IP-адрес сервера DoT для тестирования в текстовое поле Предпочтительный DNS. Например: 1.1.1.1.
• Сохраните и подтвердите, что (без шифрования) отображается в строке «DNS-серверы IPv4:» в списке конфигураций в нижней части интерфейса.

Затем в командной строке с повышенными привилегиями выполните следующие команды:

netsh dns add global dot=yes

netsh dns add encryption server= dothost=: autoupgrade=yes

ipconfig /flushdns

Обратите внимание, что поле dothost, равное :, означает, что будет использоваться порт DoT по умолчанию (853), а доменное имя, представленное в сертификате TLS сервера, проверяться не будет. Чтобы выполнить надлежащую проверку соединения, укажите ожидаемое доменное имя сервера DoT (соединение будет использовать назначенный DoT порт 853 без необходимости его указания, поскольку пользовательские порты пока не поддерживаются).

Данные изменения применяются незамедлительно, без перезагрузки системы. Захваты сетевых пакетов должны показывать большой трафик на порту 853 и минимальный трафик на порту 53.

Возможные проблемы

Если вышеописанные действия приводят к потере подключения к Интернету, то можно проверить несколько вещей. Во-первых, убедитесь, что ваша сборка Windows поддерживает DoT (DoT поддерживается только в Insider Preview Build 25158 или более поздних версиях).

Далее выполните следующую команду:

netsh dns show global

В выводе команды должно быть сообщение:

DoT settings: enabled

Если это не так, запустите команду

netsh dns add global dot=yes

а затем еще одну команду

netsh dns show encryption

В выводе команды должно содержаться Encryption settings for с хостом DNS через TLS, параметром autoupgrade=yes и отключенным откатом UDP. В противном случае убедитесь, что команда netsh dns add encryption выполнилась без ошибок и свойства преобразователя DoT указаны правильно.

Затем просмотрите представление конфигурации DNS, чтобы убедиться, что в приложении Параметры настроен ожидаемый преобразователь DNS. Обратите внимание, что даже если DoT работает, в тексте все равно будет написано (без шифрования).

Затем убедитесь, что используемая сеть не блокирует порт 853 и что резолверы действительно поддерживают DoT. Публичные резолверы, предоставляемые Quad9, Cloudflare, Cisco (OpenDNS) и Google были протестированы и, как известно, работают.

Если DoT по-прежнему не работает, подключение можно восстановить, изменив настроенные резольверы или вернув конфигурацию DNS в автоматический режим, чтобы получить конфигурацию DNS из сети.