Protect: защита DNS-запросов
В Яндекс Браузере в рамках комплексной защиты Protect используется технология DNS over HTTPS (DоH), которая защищает пользователей от перехвата, манипулирования данными и подмены DNS-запросов.
Примечание
По умолчанию шифрование по технологии DоH отключено, но его можно включить.
Опасность перехвата DNS-запросов
Для соединения с сайтом в интернете необходимо знать его IP-адрес. Пользователям проще запомнить доменное имя (буквенный адрес сайта), чем последовательность цифр IP-адреса. DNS — распределенная система, способная получить IP-адрес по доменному имени.
Когда пользователь вводит адрес сайта в Браузере без использования технологии шифрования, происходит следующее:
- Браузер отправляет запрос с указанием домена на специальный DNS-сервер.
- DNS-сервер в ответ отправляет необходимый физический IP-адрес.
Внимание
Запрос к DNS-серверу и его ответ передаются без шифрования.
Отсутствие шифрования приводит к тому, что:
- Провайдер и администратор сети могут узнать, какие сайты посещает пользователь.
- Злоумышленник может подменить ответ DNS-сервера и перенаправить пользователя на вредоносную страницу. Например, вместо сайта банка пользователь может оказаться на мошенническом ресурсе, который ворует пароли.
Узнайте больше
-
Статья «Яндекс.DNS в роутерах Asus и D-Link» в блоге Яндекса
-
Статья «Безопасность в интернете: программы-боты» в блоге Яндекса
Технология DoH в Браузере
DoH защищает пользователей от перехвата и подмены DNS-запросов за счет технологии шифрования. Когда вы вводите адрес сайта в Браузере с включенным шифрованием:
-
DoH шифрует DNS запрос с вашего компьютера с помощью протокола TLS.
-
Зашифрованный запрос отправляется в виде HTTPS GET или POST запросов на DNS-серверы с поддержкой DoH.
-
DNS-сервер отправляет на ваш компьютер IP-адрес по протоколу HTTP или HTTP/2 в зашифрованном виде.
В результате зашифрованного сеанса между Браузером и DNS-сервером:
-
Администраторы сетей и интернет-провайдеры не могут отследить ваши DNS-запросы и узнать, какие сайты вы посещаете.
-
Злоумышленники не смогут изменить ответ DNS-сервера и направить Браузер на мошеннический сайт.
Включить шифрование DNS-запросов
-
Нажмите → Настройки.
-
В верхней части страницы перейдите на вкладку Безопасность.
-
В разделе Защита соединения включите опцию Использовать безопасный DNS-сервер.
-
Если необходимо, выберите поставщика услуг из выпадающего списка. По умолчанию выбрана опция Использовать текущего поставщика услуг.