DNS-over-TLS (DoT)

Определение​

DNS-over-TLS заключает DNS-запросы в TLS-соединение (обычно порт 853). Клиент устанавливает постоянный зашифрованный канал к резолверу, что предотвращает прослушку и подмену.

Почему это важно​

• Обход провайдера: глубокий анализ пакетов не видит, какие домены вы запрашиваете.
• Совместимость: некоторые роутеры и ОС поддерживают DoT «из коробки», даже если DoH заблокирован.
• Целостность: проверка TLS гарантирует, что вы общаетесь именно с выбранным резолвером, избегая поддельных ответов.

Настройка​

1. Укажите в Android Private DNS или в настройках DNS iOS/macOS адреса DoT (например, dns.cloudflare.com).
2. На роутерах включите переадресацию через DoT, если прошивка это поддерживает (OpenWrt, ASUSWRT-Merlin).
3. Следите за соединениями, чтобы файрволы не переводили запросы обратно на нешифрованный порт 53.