LINUX.ORG.RU
ФорумAdmin

DNS-over-TLS vs. DNS-over-HTTPS

 , , , ,


0

1

Настраиваю свой DNS-сервер, выбрал Pi-hole и публичный DNS от Cloudflare. Поскольку хочу DNS-запросы зашифровать, хочу использовать DoT или DoH. Что используете вы и почему? Какие лично для вас преимущества у того или другого варианта? Есть ли тут параноики, использующие DNS-over-Tor или ещё более извращённые варианты?

★★★★★

Я использую dnscrypt. Из предложенных технически я - за DoT(меньше накладных расходов), идеологически - лучше DoH(меньше вероятность что порубят на файрволах, в том числе и «товарищи» из РКН)

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)

Использую DoT. HTTP в таком приложении имеет изрядный оверхед и его стоит использовать только понимая, зачем именно: например в сетях, где закрыты другие порты/сервисы или необходимо однозначно ловить ошибки на уровне приложения.

С DNS от Cloudflare есть важный нюанс. DoT и DoH работают поверх TCP, а сервера one.one.one.one очень быстро рвут соединения. В результате практически каждый DNS-запрос претворятся TCP-хендшейком со своей задержкой на разговоры о погоде.

У меня через DNS от Google, где нормальные keepalive, среднее время ответа на запрос в полтора раза меньше, чем с Cloudflare. Хотя время пинга до 8.8.8.8 больше в два раза.

anonymous ()
Ответ на: комментарий от Pinkbyte

технически я - за DoT(меньше накладных расходов), идеологически - лучше DoH(меньше вероятность что порубят на файрволах, в том числе и «товарищи» из РКН)

Поддерживаю!

P.S. использую DoH

MumiyTroll ★★ ()
Ответ на: комментарий от stinky3000

Причём stubby и DoH поддерживает !

Я лично через него использую DoT Cloudflare и Google.

Ключ Cloudflare меняет раз в год или даже реже, а вот Google раз в месяц или даже чаще - единственный минус !

suffix ()

А в чем смысл заворачивать именно DNS ? блокировки только по нему уже давно не актуальны, везде натыкан DPI анализирующий пакеты, проще весь трафик заворачивать

BLOBster ★★ ()