Шифрованный DNS против VPN — почему DoH и DoT не скроют ваши посещения сайтов в 2026 году
Доступные языки
Если вы включили шифрованный DNS в браузере или операционной системе и решили, что провайдер больше не видит, какие сайты вы посещаете, — вы не одиноки. Это одно из самых распространённых заблуждений о приватности в 2026 году.
В середине апреля инструктор по безопасности David Bombal опубликовал практическую демонстрацию, которая разлетелась по сети: даже при включённом DNS-over-HTTPS (DoH), даже когда каждое соединение защищено TLS, он мог идентифицировать конкретные сайты, которые посещает цель, просто прослушивая сеть. Шифрованный DNS не скрыл практически ничего полезного.
Если вы рассчитывали, что одного DoH или DoT хватит, чтобы скрыть посещения сайтов — эта статья для вас. Разберём, что шифрованный DNS действительно скрывает, что утекает, и почему VPN по-прежнему остаётся единственным надёжным способом убрать ваш трафик из логов провайдера.
Краткое напоминание: что такое DNS?
Каждый раз, когда вы вводите example.com в браузере, устройство сначала спрашивает у DNS-резолвера: переведи это имя в IP-адрес вроде 93.184.216.34. Без DNS интернет — это просто справочник из чисел, которые никто не помнит.
Десятилетиями DNS-запросы передавались в открытом виде по UDP-порту 53 — без какого-либо шифрования. Любой, кто наблюдал за вашей сетью (провайдер, администратор Wi-Fi в кафе, государственное ведомство), мог прочитать каждый запрошенный домен.
Шифрованный DNS был создан, чтобы решить именно эту конкретную проблему.
Что такое шифрованный DNS?
«Шифрованный DNS» — общий термин для трёх современных транспортных протоколов:
| Протокол | Полное название | Порт | Транспорт |
|---|---|---|---|
| DoH | DNS over HTTPS | 443 | TCP/HTTPS |
| DoT | DNS over TLS | 853 | TCP/TLS |
| DoQ | DNS over QUIC | 853 | UDP/QUIC |
Все три заворачивают ваши DNS-запросы в шифрованный туннель между устройством и резолвером. Крупные провайдеры — Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9, NextDNS — поддерживают эти протоколы. Большинство современных браузеров (Firefox, Chrome, Edge, Safari) и операционных систем (Windows 11, macOS, iOS, Android) позволяют включить шифрованный DNS в пару кликов.
Шифрованный DNS решает проблему открытых DNS-запросов. Он не решает более крупную проблему сетевой слежки.
Что шифрованный DNS действительно скрывает
Отдадим должное. После включения DoH или DoT следующее становится невидимым для провайдера и любого локального наблюдателя:
- Сам DNS-запрос — буквальная строка
example.comбольше не уходит открытым текстом - DNS-ответ — IP-адрес, возвращённый резолвером, тоже зашифрован
- DNS-перехват сложнее — провайдер не может переписать ответ и перенаправить вас на другую страницу
Если вы живёте там, где практикуется агрессивная DNS-цензура, шифрованный DNS иногда позволяет обойти простейшие схемы блокировки. Это реальная польза.
Но есть нюанс: скрытие DNS-запроса — лишь крошечная часть картины приватности.
Что шифрованный DNS не скрывает
Здесь у большинства людей рушится модель происходящего. После того как устройство разрешило example.com в 93.184.216.34, оно должно реально подключиться к этому IP-адресу, чтобы загрузить сайт. Именно это соединение интересно провайдеру — и шифрованный DNS не делает ничего, чтобы его скрыть.
Остаются три большие дыры, открытые настежь:
1. IP-адрес назначения
Каждый отправляемый пакет несёт IP назначения в заголовке. Все маршрутизаторы — включая провайдерские — читают этот IP, чтобы переслать пакет. Скрыть его от провайдера без дополнительного сетевого слоя (VPN, Tor, прокси) невозможно.
Как только провайдер видит подключения к IP-блоку Netflix, Google или известному CDN взрослого сайта, ему уже не нужен DNS, чтобы понять, куда вы идёте.
2. TLS-поле SNI
Когда браузер открывает HTTPS-соединение, самое первое сообщение — TLS ClientHello — содержит поле SNI (Server Name Indication). SNI сообщает серверу, какой именно сайт вы запрашиваете, потому что один IP-адрес часто хостит тысячи сайтов за CDN.
Проблема? SNI отправляется в открытом виде. Хотя всё после рукопожатия зашифровано, имя хоста летит по сети открытым текстом. Провайдер читает его так же легко, как почтовую открытку.
Это главная причина, по которой шифрованный DNS не скрывает посещения сайтов. Как сказал Bombal в своей апрельской демонстрации: «То, что ваш DNS теперь зашифрован, не означает, что провайдер — или другой человек, прослушивающий сеть — не видит, на какой сайт вы заходите.»
3. Шаблоны и тайминги трафика
Даже если домен каким-то образом скрыт, размер, время и частота пакетов выдают удивительно много. Исследователи показали, что только по метаданным пакетов наблюдатель может опознать конкретные видео на YouTube, определить, каким стриминговым сервисом вы пользуетесь, и даже угадать, какую страницу вы читаете.
А как же ECH? Разве он не закрывает SNI?
Хороший вопрос — и правильный. Encrypted Client Hello (ECH) — преемник старого предложения ESNI. Он шифрует весь ClientHello, включая поле SNI, так что имя хоста больше не утекает в начале TLS-рукопожатия.
ECH — действительно самое чистое решение проблемы SNI. Загвоздка во внедрении:
- ECH работает только если обе стороны — клиент (браузер) и сервер (или его CDN) — поддерживают его
- На практике в 2026 году большая часть ECH-трафика идёт через Cloudflare — один CDN
- Многие крупные сайты (банки, авиакомпании, государственные органы, региональные сервисы) вообще не сидят за ECH-совместимым CDN
- Некоторые сети активно блокируют ClientHello с признаками ECH, чтобы вынудить откат
В эксперименте Bombal поле SNI выдавало домен назначения почти на каждом проверенном сайте, редкими исключениями были сайты под Cloudflare с включённым ECH. Технология реальная, но пока не полный ответ.
Шифрованный DNS против VPN: реальное сравнение
Вот как две технологии действительно соотносятся с угрозами, которые волнуют большинство людей:
| Что видит наблюдатель | Только шифрованный DNS | VPN |
|---|---|---|
| Открытые DNS-запросы | Скрыты | Скрыты |
| IP-адрес назначения | Виден | Скрыт (виден только IP VPN-сервера) |
| TLS SNI / имя хоста | Видно | Скрыто (внутри туннеля) |
| Тайминг и объём подключений к конкретному сайту | Видны | Замаскированы (смешаны с другим VPN-трафиком) |
| Кому провайдер может продать ваши данные | Вам | Провайдеру VPN, если он ведёт логи (no-logs VPN — никому) |
| Доступ к гео-ограниченному контенту | Без изменений | Обходится через сервер в другом регионе |
| Прослушка в публичном Wi-Fi | Частично | Полное сквозное шифрование |
VPN работает на принципиально более низком уровне, чем DNS. Он строит шифрованный туннель от вашего устройства до VPN-сервера, и каждый пакет — DNS-запросы, IP-маршрутизация, TLS-рукопожатия, SNI, шаблоны трафика — идёт через этот туннель. Провайдер видит лишь один зашифрованный поток к VPN-точке. Прочитать его он не может, отдельные направления различить — тоже, и продать то, чего у него нет, — нечего.
Почему «у меня же DoH» — этого мало
Пройдёмся по ситуациям, в которых люди чаще всего полагают, что шифрованный DNS их защищает, и посмотрим, что происходит на самом деле:
На домашнем Wi-Fi. Провайдер всё равно видит каждый IP и SNI, к которым вы подключаетесь. Он может построить полный профиль ваших посещений и во многих странах — продать его или поделиться им.
В публичном Wi-Fi. Тот, кто управляет точкой доступа — или атакующий в той же сети — читает ваш SNI открытым текстом. Он узнаёт каждый посещённый сайт, даже если ваш DNS зашифрован к Cloudflare.
В корпоративной или гостиничной сети. Администратор сети видит все ваши направления и часто активно их логирует. Некоторые сети блокируют известные DoH-резолверы, чтобы вернуть вас к открытому DNS.
Под государственной слежкой или цензурой. Инспекция SNI — одна из самых дешёвых и широко развёрнутых техник фильтрации в мире. Один шифрованный DNS её не обходит.
Ни в одном из этих сценариев DoH сколько-нибудь существенно не меняет того, что наблюдатель может узнать о вас.
Правильный стек: шифрованный DNS и VPN
Это не выбор «или-или». Самая надёжная связка — обе технологии вместе:
- VPN прогоняет 100 % вашего трафика — DNS, IP, SNI, всё — через шифрованный туннель, скрывая всё это от провайдера и локальной сети.
- Шифрованный DNS внутри VPN обеспечивает защиту DNS-запросов и от вышестоящих резолверов VPN-провайдера и снижает риск фингерпринтинга, если VPN на мгновение оборвётся.
- ECH там, где доступен добавляет ещё один слой для сайтов с поддержкой — полезно, но не замена туннелю.
Достойный VPN также автоматически разбирается с DNS: при подключении весь DNS-трафик должен идти через собственные резолверы VPN (или выбранного вами провайдера шифрованного DNS) внутри туннеля, с защитой от DNS-утечек, гарантирующей, что ни один запрос случайно не уйдёт к резолверу провайдера.
Как проверить, что у вас ничего не утекает
Прежде чем доверять всему этому — протестируйте:
- Подключитесь к VPN.
- Зайдите на dnsleaktest.com и запустите расширенный тест. Должен показаться резолвер вашего VPN-провайдера, а не провайдера интернета.
- Зайдите на browserleaks.com/ip и убедитесь, что ваш публичный IP соответствует VPN-серверу, а не вашему реальному адресу.
- Опционально: на browserleaks.com/tls посмотрите, как ваш TLS ClientHello (включая поддержку SNI/ECH) выглядит для сервера.
Если какой-то из тестов показывает реального провайдера, реальный IP или реальное местоположение — у вас утечка. Хорошие VPN-клиенты автоматически закрывают это Kill Switch и встроенной защитой от DNS-утечек — но проверить лично один раз стоит.
Итог
Шифрованный DNS — реальное улучшение по сравнению с открытым DNS, и его стоит включать. Но он решает узкую задачу: скрыть буквальный текст ваших DNS-запросов от того, кто слушает провод.
Он не скрывает:
- IP-адреса, к которым вы подключаетесь
- Имена хостов в незашифрованных полях SNI
- Шаблоны и метаданные трафика
- Что-либо от настойчивого провайдера, сетевого администратора или средства слежки
Если ваша цель — настоящая приватность браузинга, удержать провайдера, операторов публичного Wi-Fi и случайных любопытных подальше от вашей активности, — вам нужен VPN. Шифрованный DNS — полезное дополнение поверх, но не замена.
Как Mosaic VPN сохраняет приватность вашего браузинга
Mosaic VPN построен с учётом всего, описанного выше:
- Шифрование AES-256 оборачивает каждый пакет — DNS, SNI и всё остальное — в низконакладный шифрованный туннель, который провайдер и локальная сеть просто не могут прочитать
- Встроенная защита от DNS-утечек направляет каждый запрос через туннель — ни один не утечёт к резолверу провайдера
- Надёжный Kill Switch мгновенно отключает интернет при разрыве туннеля, не давая короткому открытому окну выдать ваш трафик
- Строгая политика отсутствия логов означает, что нет журналов посещений, которые можно вызвать в суд, продать или похитить
- Глобальная сеть серверов позволяет выбирать регион выхода, нейтрализуя слежку по IP и открывая гео-ограниченный контент
Шифрованный DNS — отличный первый шаг. В паре с Mosaic VPN та самая щель, которую провайдер тихо использовал, наконец закрывается.
Теги