Protect: защита DNS-запросов

В Яндекс Браузере в рамках комплексной защиты Protect используется технология DNS over HTTPS (DоH), которая защищает пользователей от перехвата, манипулирования данными и подмены DNS-запросов.

Примечание. По умолчанию шифрование по технологии DоH отключено, но его можно включить.
  1. Опасность перехвата DNS-запросов
  2. Технология DoH в Браузере
  3. Включить шифрование DNS-запросов

Опасность перехвата DNS-запросов

Для соединения с сайтом в интернете необходимо знать его IP-адрес. Пользователям проще запомнить доменное имя (буквенный адрес сайта), чем последовательность цифр IP-адреса. DNS — распределенная система, способная получить IP-адрес по доменному имени.

Когда пользователь вводит адрес сайта в Браузере без использования технологии шифрования, происходит следующее:

  1. Браузер отправляет запрос с указанием домена на специальный DNS-сервер.
  2. DNS-сервер в ответ отправляет необходимый физический IP-адрес.
Внимание. Запрос к DNS-серверу и его ответ передаются без шифрования.

Отсутствие шифрования приводит к тому, что:

  • Провайдер и администратор сети могут узнать, какие сайты посещает пользователь.
  • Злоумышленник может подменить ответ DNS-сервера и перенаправить пользователя на вредоносную страницу. Например, вместо сайта банка пользователь может оказаться на мошенническом ресурсе, который ворует пароли.

Технология DoH в Браузере

DoH защищает пользователей от перехвата и подмены DNS-запросов за счет технологии шифрования. Когда вы вводите адрес сайта в Браузере с включенным шифрованием:

  1. DoH шифрует DNS запрос с вашего компьютера с помощью протокола TLS.
  2. Зашифрованный запрос отправляется в виде HTTPS GET или POST запросов на DNS-серверы с поддержкой DoH.
  3. DNS-сервер отправляет на ваш компьютер IP-адрес по протоколу HTTP или HTTP/2 в зашифрованном виде.

В результате зашифрованного сеанса между Браузером и DNS-сервером:

  • Администраторы сетей и интернет-провайдеры не могут отследить ваши DNS-запросы и узнать, какие сайты вы посещаете.
  • Злоумышленники не смогут изменить ответ DNS-сервера и направить Браузер на мошеннический сайт.

Включить шифрование DNS-запросов

  1. Нажмите   → Настройки.
  2. В верхней части страницы перейдите на вкладку Безопасность.
  3. В разделе Защита соединения включите опцию Использовать безопасный DNS-сервер.
  4. Если необходимо, выберите поставщика услуг из выпадающего списка. По умолчанию выбрана опция Использовать текущего поставщика услуг.