Co to jest DNS, DoH i skąd biorą się „ślady” historii przeglądania
Jak działa klasyczny DNS w praktyce
Gdy wpisujesz w przeglądarce adres typu example.com, komputer nie porozumiewa się z serwerem po nazwie, tylko po adresie IP (np. 93.184.216.34). Tłumaczeniem czytelnej dla człowieka domeny na adres IP zajmuje się DNS (Domain Name System) – coś w rodzaju spisu telefonów dla Internetu.
Standardowo wygląda to tak:
Twój komputer wysyła zapytanie DNS: „jaki jest adres IP dla example.com?”
Zapytanie trafia do serwera DNS (zazwyczaj od dostawcy internetu – ISP lub operatora sieci lokalnej).
Serwer DNS zwraca adres IP domeny.
Przeglądarka łączy się z serwerem strony po tym adresie IP i ładuje stronę.
W klasycznej wersji zapytanie DNS jest przesyłane otwartym tekstem (bez szyfrowania), najczęściej przez port 53 (UDP/TCP). Oznacza to, że każda osoba lub urządzenie mające dostęp do ruchu sieciowego po drodze może bez problemu odczytać:
jaką domenę wpisujesz,
kiedy zadałeś pytanie,
z jakiego adresu IP (Twoje urządzenie / router) pochodzi zapytanie.
Na trasie zapytania DNS pojawia się kilka kluczowych punktów, które potencjalnie „widzą” Twoją historię przeglądania na poziomie domen:
Router domowy – ruch przechodzi przez niego, może logować zapytania DNS, a ktoś z dostępem administracyjnym może je podglądać.
Dostawca internetu (ISP) – jego serwery dostarczają usługę DNS albo przynajmniej widzą zapytania lecące do innych serwerów DNS.
Serwer DNS – ten, który faktycznie odpowiada na Twoje pytania. Jeśli korzystasz z DNS operatora, to operator wie bardzo dużo o Twoich nawykach w sieci.
Przykładowo: wpisujesz fb.com w domowym Wi‑Fi. Laptop wysyła zapytanie DNS do routera, router przekazuje je do serwera DNS Twojego ISP, a odpowiedź wraca tą samą drogą. Na każdym z tych etapów ktoś z odpowiednimi uprawnieniami (lub złośliwe oprogramowanie) może zobaczyć, że próbowałeś połączyć się z domeną fb.com. To właśnie jest „śladem”, z którego można odtworzyć sporą część historii przeglądania.
DNS over HTTPS – na czym polega różnica
DNS over HTTPS (DoH) to metoda przesyłania zapytań DNS w szyfrowanym tunelu HTTPS, czyli w tym samym protokole, którego używają bezpieczne strony internetowe (z kłódką). Zamiast wysyłać krótkie, otwarte zapytanie na port 53, przeglądarka lub system wysyła zaszyfrowany ruch na port 443 do specjalnego serwera, który obsługuje DoH.
Kluczowe różnice w stosunku do klasycznego DNS:
Szyfrowanie – treść zapytania DNS jest ukryta wewnątrz połączenia HTTPS, więc obserwator w sieci widzi jedynie, że łączysz się np. z cloudflare-dns.com, ale nie widzi, o jaką domenę pytasz.
Port 443 – to ten sam port, który wykorzystuje większość stron HTTPS. Dla wielu prostych firewalli i filtrów DoH „wygląda jak zwykły ruch webowy”.
Inny dostawca DNS – DoH zazwyczaj wiąże się z przełączeniem na innego operatora DNS (Cloudflare, NextDNS, Quad9, własny serwer), a nie na domyślny DNS od ISP.
DoH utrudnia śledzenie na kilka sposobów:
Admin sieci lokalnej (np. w pracy, szkole, akademiku) nie widzi już w logach listy domen z zapytań DNS – widzi jedynie zaszyfrowany ruch HTTPS.
Prosty podsłuch w tej samej sieci Wi‑Fi (np. ktoś na lotnisku z programem typu sniffer) nie wyłapie Twoich zapytań DNS.
Dostawca internetu traci możliwość łatwego i taniego budowania profilu na podstawie niezaszyfrowanych zapytań DNS – bo treść pytań jest ukryta w HTTPS.
DNS over TLS (DoT) to bliski krewny DoH – również szyfruje zapytania DNS, ale używa protokołu TLS na dedykowanym porcie (najczęściej 853) i nie opakowuje ich w HTTP. Praktyczne różnice:
DoH „udaje” zwykły ruch HTTPS – trudniej go zablokować bez dotykania całego ruchu web.
DoT jest prostszy na poziomie protokołu, ale łatwiejszy do zidentyfikowania i zablokowania przez restrykcyjne firewalle.
DoH zagnieżdża DNS w HTTP/2 lub HTTP/3, więc dobrze „dogaduje się” z przeglądarkami i proxy webowymi.
Co nadal „widać”, nawet z DoH
Włączenie DoH nie czyni z Ciebie „niewidzialnego” użytkownika. Zmienia tylko to, gdzie i w jakiej formie pojawiają się informacje o odwiedzanych domenach. Zaszyfrowane są zapytania DNS, lecz pozostają inne ślady.
Dostawca internetu i administrator sieci nadal widzą:
do jakich adresów IP się łączysz (serwery stron, serwery DoH, inne usługi),
kiedy zachodzą połączenia (timestamp),
przybliżony wolumen transferu (ile danych przesłałeś do danego IP).
Na tej podstawie da się odgadnąć wiele serwisów, zwłaszcza tych z unikalnymi adresami IP lub charakterystycznymi zakresami adresów. Serwisy same w sobie również Cię widzą – serwer docelowy zna Twoje IP (chyba, że używasz VPN/Tora) i loguje informacje o żądaniach HTTP/HTTPS, chyba że jego polityka jest wyjątkowo pro‑prywatnościowa.
Serwer DNS, z którego korzystasz poprzez DoH, także widzi Twoje zapytania. Różnica polega na tym, że:
Twój ISP nie widzi już treści zapytań DNS (tylko szyfrowane połączenie z serwerem DoH).
To nowy dostawca DNS staje się podmiotem, któremu musisz zaufać (lub sam nim być, jeśli stawiasz własny resolver).
Rozsądny zestaw narzędzi dla prywatności to zwykle kombinacja:
DoH – ukrywa zapytania DNS przed lokalną siecią i ISP,
HTTPS – szyfruje treść stron (ruch HTTP),
VPN lub Tor – maskuje Twój adres IP przed odwiedzanymi serwisami i operatorem,
rozszerzenia prywatności w przeglądarce – blokują trackery, fingerprinting i nadmierne cookies.
Zrozumienie, co dokładnie szyfruje DoH, a czego nie dotyka, pozwala skonfigurować rozwiązanie adekwatne do potrzeb, zamiast liczyć na magiczny przełącznik „ukryj mnie całkowicie”. Jeśli znasz te granice, jesteś o krok przed większością użytkowników.
Po co w ogóle włączać DNS over HTTPS – konkretne korzyści i ograniczenia
Realne zyski: mniej podglądania, mniej prostych filtrów
Włączenie DNS over HTTPS przynosi kilka bardzo konkretnych korzyści związanych z prywatnością i wygodą. To nie jest ciekawostka dla geeków, tylko narzędzie, które faktycznie zmienia to, co inni widzą o Twoim ruchu.
Zmniejszenie możliwości filtrowania i podglądu przez ISP i admina sieci. Jeżeli do tej pory korzystałeś z DNS od operatora, wszystkie zapytania mogły być łatwo logowane i analizowane. Po włączeniu DoH:
lista odwiedzanych domen znika z logów DNS w routerze i u ISP,
szkolny/firmowy admin ma znacznie trudniej zbudować „profil” Twojej aktywności tylko na podstawie zapytań DNS,
systemowe mechanizmy blokowania oparte wyłącznie o DNS przestają działać, bo ruch DNS nie idzie już na ich serwer.
Ochrona przed prostym podsłuchem w sieci lokalnej. W publicznym Wi‑Fi osoba z laptopem i darmowym oprogramowaniem może podsłuchiwać pakiety i wyciągać z nich zapytania DNS, jeśli nie są szyfrowane. DoH sprawia, że:
podsłuchujący widzi tylko zaszyfrowane połączenie HTTPS do serwera DoH,
domeny, które wpisujesz, pozostają dla niego nieczytelne,
to Ty decydujesz, jakiemu dostawcy DNS chcesz zaufać, a nie przypadkowej sieci Wi‑Fi.
Stabilniejsze omijanie prostych blokad DNS. W wielu miejscach (szkoły, niektóre firmy, domowe routery z „kontrolą rodzicielską”) blokady polegają na tym, że serwer DNS:
odpowiada błędnym adresem,
udaje, że domena nie istnieje (NXDOMAIN),
przekierowuje na własną stronę z komunikatem o blokadzie.
Gdy zastosujesz DoH do niezależnego serwera DNS:
zapytania w ogóle nie trafiają do lokalnego serwera blokującego,
proste blokady DNS stają się nieskuteczne, o ile firewall nie blokuje samego DoH,
masz kontrolę nad tym, jakie domeny są filtrowane (np. wybierasz dostawcę z filtrowaniem malware, ale bez filtrów cenzurujących).
Czego DNS over HTTPS nie naprawi
DoH to konkretny kawałek układanki, a nie pełne rozwiązanie prywatności. Są obszary, których nie dotyka w ogóle lub tylko pośrednio. Jasne ich nazwanie oszczędza rozczarowań i błędnych oczekiwań.
Brak pełnej anonimowości – odwiedzane serwisy wciąż widzą Twój adres IP, a operator VPN (jeśli go używasz) widzi, do jakich domen się łączysz, jeśli to on rozwiązuje DNS.
Brak automatycznej ochrony przed złośliwymi stronami – chyba że wybierzesz dostawcę DNS z wbudowaną ochroną anty‑malware i filtrami (np. Quad9, AdGuard). Samo szyfrowanie nic nie mówi o „jakości” stron.
Brak wpływu na trackery i ciasteczka – DoH nie usuwa skryptów śledzących, nie blokuje fingerprintingu przeglądarki i nie czyści cookies.
Brak zabezpieczenia przed zainfekowanym urządzeniem – jeśli masz malware na komputerze, może ono korzystać z własnych mechanizmów DNS lub tuneli, niezależnie od Twojego DoH.
Dlatego DoH warto traktować jako solidny fundament ochrony prywatności na poziomie „kto widzi moje zapytania DNS”, a nie jako tarczę na wszystkie zagrożenia w sieci.
Prosty przykład z życia: akademik, praca, dom
Wyobraź sobie studenta w akademiku, gdzie administracja sieci ma pełny dostęp do routerów i logów serwerów DNS. Przy klasycznym DNS admin widzi listę domen, o które pytają wszystkie pokoje. Nawet jeśli treść ruchu HTTP jest szyfrowana, same nazwy domen mówią bardzo dużo: portale informacyjne, serwisy społecznościowe, strony edukacyjne, fora tematyczne.
Jeśli student włączy DoH w swojej przeglądarce i ustawi jako dostawcę np. Cloudflare lub NextDNS, to:
wszystkie zapytania DNS przeglądarki lecą zaszyfrowanym strumieniem HTTPS do wybranego dostawcy,
admin akademika w logach własnego DNS już ich nie widzi, bo nie jest w ogóle pytany,
lokalne blokady stron oparte tylko o DNS przestają działać na tej przeglądarce.
Czy admin nadal może coś zobaczyć? Tak – widzi ruch z pokoju do konkretnego IP, więc przy odpowiednich narzędziach nadal może sporo wywnioskować. Ale najprostsza i najbardziej oczywista lista „domen z DNS” znika. Dokładnie o taki poziom utrudnienia chodzi większości użytkowników. To jest realna, odczuwalna różnica.
Określenie, czy Twoim celem jest głównie prywatność, omijanie blokad, czy np. lepsza kontrola rodzicielska, pozwoli dobrać odpowiednią konfigurację DoH i narzędzia towarzyszące. Jasny cel = szybsze i skuteczniejsze działania.
Wybór dostawcy DNS over HTTPS – bezpieczeństwo, prywatność, niezawodność
Na co patrzeć przy wyborze serwera DoH
Przestawienie się z DNS operatora na DNS over HTTPS to w praktyce zmiana osoby, której ufasz, jeśli chodzi o Twoje zapytania DNS. Zamiast lokalnego ISP zaufanie dostaje nowy operator – lub Ty sam, jeśli konfigurujesz własny serwer.
Przy wyborze dostawcy DoH dobrze jest przeanalizować kilka kwestii:
Polityka prywatności – kluczowe pytania:
Czy operator loguje adresy IP w zapytaniach DNS?
Jeśli tak, to jak długo przechowuje logi?
Czy logi są wykorzystywane do analityki, reklam, badań rynkowych?
Czy operator deklaruje brak sprzedaży danych stronom trzecim?
Reputacja i model biznesowy:
czy to fundacja non‑profit, firma komercyjna, projekt społecznościowy?
Przykładowi dostawcy DoH i ich charakterystyka
Kilka usług przewija się najczęściej w poradnikach i konfiguracjach. Każda ma trochę inny profil – od „maksimum prywatności” po „wygodne filtry dla rodziny”. Poniżej krótki przegląd, który ułatwia start.
Cloudflare (1.1.1.1)
szybki, globalny, nastawiony na wydajność,
deklaracje: brak długotrwałego logowania IP, audyty zewnętrzne,
dostępne warianty: podstawowy (bez filtrów), wersja z blokowaniem adult/malware (Family),
dobry balans: prędkość + sensowna prywatność dla większości użytkowników.
Quad9
fundacja non‑profit, mocny nacisk na bezpieczeństwo,
wbudowane filtrowanie domen powiązanych z malware, phishingiem itp.,
adresy IP są anonimizowane/agregowane, brak komercyjnego modelu „sprzedaży danych”,
dobry wybór, gdy priorytetem jest ochrona przed złośliwymi stronami.
NextDNS
usługa w modelu „konto + konfiguracja w chmurze”, wersja darmowa i płatna,
bardzo rozbudowane filtry: reklamy, trackery, kategorie stron, listy własne,
szczegółowe statystyki zapytań DNS (z możliwością anonimizacji IP),
idealny dla osób, które chcą pełnej kontroli i szczegółowej analityki.
AdGuard DNS
skupia się na blokowaniu reklam i trackerów,
kilka profili: standard, family (adult + malware), non‑filtering,
czytelne panele, prosta integracja z aplikacjami AdGuard,
rozsądny wybór, jeśli priorytetem jest „mniej śmieci w sieci”.
OpenDNS (Cisco)
stary wyjadacz: filtracja treści, kontrola rodzicielska,
silna pozycja korporacyjna, ale model mocno komercyjny,
często wykorzystywany w firmach i szkołach do polityk bezpieczeństwa.
Dobry początek to 1–2 dostawców testowych i kilka dni normalnego korzystania z sieci. Szybko zobaczysz, czy coś przycina, co jest blokowane „za ostro” i czy w ogóle czujesz różnicę.
Samodzielny serwer DoH – kiedy ma to sens
Osoby z żyłką admina mogą pójść krok dalej i postawić własny resolver DNS z obsługą DoH (np. unbound + dnscrypt‑proxy, bind z frontem DoH, AdGuard Home, pi‑hole z dodatkami). Taki wariant ma kilka konkretnych plusów:
pełna kontrola nad logami (możesz je wyłączyć lub trzymać tylko lokalnie),
możliwość własnych list blokad (reklamy, trackery, domeny „rodzicielskie”),
brak zewnętrznego podmiotu, który hurtowo widzi Twoje zapytania DNS,
jedno miejsce konfiguracji dla całej sieci domowej (router → Twój serwer).
Minusy są równie ważne:
odpowiadasz za aktualizacje, łatki bezpieczeństwa i stabilność,
musisz zadbać o kopie konfiguracji i sensowne backupy,
przy awarii Twój DNS „pada” razem z serwerem – brak dużego SLA jak u dostawcy globalnego.
Dla większości użytkowników sensowne jest połączenie: własny resolver w domu + zewnętrzny dostawca DoH jako zapas. To pozwala poćwiczyć kontrolę i nie zostać bez internetu, gdy coś pójdzie nie tak.
Równowaga: prywatność kontra wygoda i filtracja
Przy wyborze dostawcy DoH i ewentualnych filtrów dobrze jest jasno zdecydować, co jest ważniejsze: ścisła prywatność czy wygoda (mniej reklam, ochrona dzieci, automatyczne blokowanie złośliwych stron). Czasem jedno wyklucza drugie.
loguje minimalnie lub wcale (szukaj w polityce: „no IP logging” lub „logs kept for X hours and anonymized”),
nie łączy DNS z innymi usługami (brak „profilu użytkownika” na wiele produktów),
nie sprzedaje danych reklamodawcom.
chcesz silnej ochrony przed malware – akceptujesz, że:
dostawca musi korzystać z list zagrożeń i może krótko logować zapytania do analizy,
niektóre „niszowe” strony mogą być blokowane agresywnie,
czasem trzeba ręcznie dodać wyjątek lub tymczasowo wyłączyć filtr.
chcesz kontroli rodzicielskiej – wtedy:
filtry kategorii (adult, hazard, przemoc) są ważniejsze niż minimalizacja logów,
często pojawia się konto użytkownika (np. NextDNS, OpenDNS), które trzyma konfigurację w chmurze,
zgadzasz się na to, że ktoś (Ty) ma wgląd w historię domen dzieci.
Dobry wybór to taki, przy którym bez wahania podpisałbyś się pod zdaniem: „Tak, jestem OK z tym, że to właśnie ta firma/fundacja widzi moje DNS‑y”. Jeśli masz z tym dysonans – poszukaj lepszej opcji.
Jak bezpiecznie przetestować nowego dostawcę
Zanim przełączysz wszystkie urządzenia na nowego operatora DoH, dobrze jest zrobić krótki test pilotażowy. Dzięki temu nie blokujesz sobie przypadkiem krytycznych serwisów (bank, poczta firmowa) ani nie pogarszasz wydajności.
Prosty plan:
Włącz DoH tylko w jednej przeglądarce (np. Firefox/Brave/Chrome) i ustaw tam nowego dostawcę.
Przez 2–3 dni używaj głównie tej przeglądarki do codziennych działań: poczta, bank, social media, narzędzia pracy.
Zapisz adresy stron, które nie działają poprawnie (np. nie ładują się zasoby, coś się sypie przy logowaniu).
Wejdź na panel dostawcy (jeśli istnieje) i sprawdź, czy strona nie jest blokowana filtrem.
Sprawdź czas ładowania kilku cięższych serwisów przed i po włączeniu DoH (subiektywnie i ewentualnie z pomocą narzędzi typu ping, traceroute).
Jeśli po takim mini‑teście wszystko działa płynnie, możesz spokojnie przenieść konfigurację na cały system albo router. To prosty filtr na niespodzianki.
Źródło: Pexels | Autor: Stefan Coders
Przygotowanie do konfiguracji – plan działania i proste testy wstępne
Określenie celu: co chcesz osiągnąć DoH‑em
Konfiguracja jest łatwiejsza, gdy wiadomo, po co to robisz. Inaczej kończy się serią losowych przełączników i frustracją. W praktyce najczęściej pojawiają się trzy główne cele:
Prywatność przed operatorem / administratorem sieci – priorytetem jest, żeby ISP lub admin akademika/firmy nie widział listy domen z DNS.
Obejście prostych blokad DNS – chodzi o to, by zignorować lokalne filtry w routerze, szkolnej sieci czy na poziomie dostawcy.
Centralna kontrola nad ruchem w domu – konfiguracja jednego miejsca (np. router + własny serwer DNS), które chroni i filtruje wszystkie urządzenia.
Możesz oczywiście chcieć kombinacji tych celów. Najważniejsze, abyś na tym etapie jasno powiedział sobie: „priorytet A, potem B, C może wcale”. Dzięki temu w dalszej części nie gubisz się w opcjach.
Wybór poziomu konfiguracji: przeglądarka, system czy router
DNS over HTTPS można ustawić na kilku poziomach. Każdy ma własne plusy i minusy, więc dobrze to poukładać, zanim zaczniesz klikać.
Tylko przeglądarka
plusy:
najszybsza i najprostsza metoda,
nie wymaga uprawnień administratora w systemie,
łatwo przetestować kilku dostawców równolegle (różne przeglądarki → różne DoH).
minusy:
inne aplikacje (gry, komunikatory, klient poczty) nadal używają „starego” DNS,
każdą przeglądarkę trzeba konfigurować osobno.
Poziom systemu operacyjnego
plusy:
wszystkie aplikacje korzystają z konfiguracji systemowej,
łatwiej zarządzać jednym zestawem ustawień niż pięcioma przeglądarkami.
minusy:
na Windows/Linux/Mac trzeba sięgnąć głębiej w ustawienia (często eksperymentalne),
czasem konkretne programy i tak wymuszają własne DNS (np. klient VPN).
Router / brama sieciowa
plusy:
jedna konfiguracja dla całej sieci (komputery, telefony, konsole, TV),
łatwo połączyć z dodatkowymi filtrami (np. AdGuard Home, pi‑hole),
najlepsze miejsce dla „domowego centrum prywatności”.
minusy:
nie każdy router wspiera DoH, czasem trzeba wgrać alternatywny firmware (OpenWrt),
zła konfiguracja może unieruchomić internet w całym domu na czas poprawek.
Dla startu świetnie sprawdza się układ: najpierw jedna przeglądarka, potem cała przeglądarka, a dopiero na końcu system/router. Krok po kroku, bez nerwów.
Sprawdzenie obecnej konfiguracji DNS
Zanim cokolwiek zmienisz, dobrze jest zobaczyć, na czym stoisz. To chwila roboty, a w razie problemów łatwo wtedy wrócić do punktu wyjścia albo porównać wyniki „przed” i „po”.
Najprościej skorzystać z narzędzi w przeglądarce i w systemie:
Test w przeglądarce:
wejdź na stronę typu https://1.1.1.1/help (Cloudflare) lub https://www.dnsleaktest.com/,
sprawdź, jaki dostawca DNS jest wykrywany (zwykle nazwa operatora lub jego partnera),
zanotuj wynik – przyda się do porównania po włączeniu DoH.
Test w systemie (Windows):
otwórz wiersz poleceń i wpisz ipconfig /all,
znajdź w sekcji aktywnego interfejsu wiersz „Serwery DNS” – tam widać aktualnie używane adresy.
Test w systemie (Linux / macOS):
Linux: nmcli dev show | grep DNS lub systemd-resolve --status w nowszych distro,
macOS: scutil --dns – w sekcji aktywnego interfejsu zobaczysz aktualny DNS.
Warto też zrobić prosty „DNS leak test” przed konfiguracją DoH, a potem powtórzyć go po zmianach. Różnica pokaże, czy faktycznie wyszedłeś spod skrzydeł DNS operatora.
Prosty test stabilności i opóźnień
Większość osób nie mierzy milisekund, ale jeśli DoH doda 200–300 ms do każdego zapytania DNS, odczujesz to jako „internet muli”. Dlatego przed ostatecznym wyborem dostawcy przydaje się krótki test wydajności.
Możesz wykorzystać prostą metodę liniową:
Wybierz kilka popularnych domen, których często używasz (np. wyszukiwarka, portal informacyjny, serwis z filmami).
Skorzystaj z narzędzia nslookup lub dig:
nslookup onet.pl albo dig onet.pl
Zwróć uwagę na pole „Query time” (w dig) lub subiektywną szybkość zwrotu odpowiedzi.
Powtórz test po włączeniu DoH (w przeglądarce lub systemie) – najlepiej kilka razy, o różnych porach dnia.
Chodzi nie tylko o same liczby, ale też o stabilność. Jeśli raz widzisz 20 ms, a za chwilę 500 ms i timeout, to taki operator może być problematyczny przy codziennym korzystaniu z sieci.
Konfiguracja DNS over HTTPS w popularnych przeglądarkach
Firefox – największa elastyczność i własny wybór dostawcy
Firefox od dawna traktuje DoH poważnie. Daje sporo opcji, w tym pełną personalizację adresu serwera.
Kroki konfiguracji (Firefox na desktopie):
Otwórz menu (trzy kreski w prawym górnym rogu) i wybierz Ustawienia.
Przejdź do sekcji Prywatność i bezpieczeństwo.
Przewiń na dół do sekcji DNS przez HTTPS lub Ustawienia sieci → Ustawienia….
Inny i podaj własny adres URL (np. https://dns.quad9.net/dns-query).
Zatwierdź i zamknij okno ustawień.
Jeśli korzystasz z profili w Firefoxie (np. „praca”, „prywatny”), możesz mieć różne konfiguracje DoH w każdym profilu – to wygodne, gdy w pracy chcesz bardziej zachowawczej konfiguracji, a prywatnie maksymalnej prywatności.
Firefox ma też dodatkowy przełącznik w about:config:
network.trr.mode – tryb działania:
2 – preferuj DoH, ale pozwól na klasyczny DNS jako fallback,
3 – tylko DoH (brak powrotu do starego DNS, bardziej „twardy” wariant),
5 – wyłącz DoH.
Dla większości osób dobrym kompromisem jest tryb 2. Jeśli chcesz maksymalnej izolacji od DNS operatora i jesteś gotów ręcznie szukać przyczyn awarii – przełącz na 3.
Chrome / Edge / Brave – DoH z integracją systemową
Przeglądarki oparte na Chromium mają zbliżone menu. Różnią się głównie nazwami zakładek, ale logika jest ta sama.
Chrome (desktop)
Wejdź w Ustawienia → Prywatność i bezpieczeństwo.
Wybierz Bezpieczeństwo.
Znajdź sekcję Użyj bezpiecznego DNS.
Włącz przełącznik i wybierz:
Użyj dostawcy aktualnego serwera nazw – Chrome spróbuje automatycznie używać DoH, jeśli dostawca to wspiera,
Wybierz innego dostawcę – lista predefiniowanych (Cloudflare, Google, Quad9, OpenDNS itp.),
Wpisz niestandardowego – ręcznie podaj adres https://... do /dns-query.
Edge ma niemal identyczne kroki (Ustawienia → Prywatność, wyszukiwanie i usługi → Bezpieczny DNS), a Brave dodaje własne opcje związane z prywatnością, ale przełącznik DoH jest w tym samym miejscu logiki „Bezpieczeństwo sieci”.
Istotny detal: jeśli wybierzesz opcję „użyj dostawcy aktualnego serwera nazw”, ale Twój operator nie wspiera DoH, ruch nadal będzie leciał po „starym” DNS. Jeśli zależy Ci na kontrolowanej prywatności, lepiej wybrać dostawcę z listy lub podać własny URL.
Mobilne przeglądarki – Android i iOS
Na telefonach przeglądarka często jest tylko jedną z wielu aplikacji korzystających z sieci. Mimo to warto mieć DoH choćby tam, gdzie wchodzisz na konto bankowe czy pocztę.
Firefox na Androidzie:
Ustawienia → Prywatność i bezpieczeństwo → DNS przez HTTPS,
reszta jak na desktopie: włącz, wybierz dostawcę lub własny adres.
Chrome na Androidzie:
Ustawienia → Prywatność i bezpieczeństwo → Bezpieczeństwo → Bezpieczny DNS,
konfiguracja jak w wersji desktopowej.
Safari na iOS:
Safari nie ma oddzielnego przełącznika DoH – korzysta z ustawień sieciowych systemu,
na iOS można użyć profili konfiguracji lub aplikacji VPN/DNS, które wstrzykują własny serwer DoH (np. aplikacja dostawcy DNS).
Dobrym startem jest włączenie DoH w przeglądarce, której najbardziej ufasz do logowania w ważnych serwisach. Resztą zajmiesz się później, gdy złapiesz już pewność, że wszystko działa stabilnie.
DNS over HTTPS na poziomie systemu operacyjnego
Windows 10/11 – „bezpieczny DNS” bez dodatkowego oprogramowania
Windows od nowszych wydań wspiera DoH bez instalowania zewnętrznych narzędzi. Funkcja jest jednak sprytnie ukryta w panelach sieciowych.
Dodanie serwera DoH w Windows
Najpewniejszy scenariusz to najpierw dodać adres IP dostawcy DNS w konfiguracji karty, a dopiero potem wskazać, że ma to być wykonywane jako DoH.
Wejdź w Ustawienia → Sieć i internet.
Wybierz aktywne połączenie (Wi‑Fi lub Ethernet).
Kliknij Właściwości → Edytuj przy „Serwer DNS”.
Przełącz na Ręcznie, włącz IPv4/IPv6 według potrzeb.
Wpisz adres IP dostawcy DNS (np. 9.9.9.9 dla Quad9, 1.1.1.1 dla Cloudflare).
Zapisz zmiany.
Następnie ustaw sposób szyfrowania DNS:
Przejdź do Panel sterowania → Sieć i Internet → Centrum sieci i udostępniania.
Kliknij aktywne połączenie → Właściwości.
Wejdź w Protokół internetowy w wersji 4 (TCP/IPv4) → Zaawansowane → DNS.
Sprawdź, czy wpisany serwer DNS pojawia się na liście.
W nowszych Windows 11 w Ustawienia sieci można wybrać sposób szyfrowania (np. Preferuj szyfrowany lub Wyłącznie szyfrowany).
Uwaga: interfejs systemu zmienia się między wersjami Windows 10 i 11 oraz aktualizacjami. Jeśli nie widzisz opcji „szyfrowanego DNS”, możesz:
zaktualizować system,
skorzystać z klienta zewnętrznego (np. Simple DNSCrypt, AdGuard DNS client) – one tworzą lokalny „serwer DNS” działający jako proxy DoH/DoT.
Dla użytkownika końcowego efekt jest prosty: wszystko, co korzysta z systemowego DNS na tym komputerze (przeglądarki, komunikatory, gry), idzie przez szyfrowane połączenie.
DoH w systemach Linux – kilka praktycznych ścieżek
Na Linuksie nie ma jednego „świętego” sposobu. Sytuację ratują jednak dwie najpopularniejsze ścieżki: systemd-resolved lub lokalny proxy (np. cloudflared, dnscrypt-proxy).
systemd-resolved jako klient DoH/DoT
W wielu nowych dystrybucjach (Ubuntu, Fedora, Debian w nowszych wydaniach) systemd-resolved obsługuje szyfrowany DNS. Konfiguracja bywa różna w zależności od wersji, ale ogólny zarys jest taki:
Sprawdź, czy systemd-resolved działa:
systemctl status systemd-resolved
Edytuj plik /etc/systemd/resolved.conf (jako root).
W sekcji [Resolve] ustaw:
DNS=1.1.1.1
FallbackDNS=1.0.0.1
DNSOverTLS=yes
To przykład DoT (DNS over TLS). Dla DoH często wygodniej użyć dedykowanego proxy, o którym za chwilę.
Ta metoda bardziej przypomina DoT, ale już odcina operatora od podsłuchiwania zapytań DNS w formie czystego tekstu. Jeśli chcesz stricte DoH, wejdź poziom wyżej – ustaw lokalny proxy, który mówi DoH „na zewnątrz”, a systemowi pokazuje się jako zwykły serwer DNS.
cloudflared lub dnscrypt-proxy jako lokalny proxy DoH
Popularny wariant: na localhost działa program, który:
odbiera zapytania DNS na porcie 53,
wysyła je dalej przez DoH do wybranego dostawcy,
zwraca odpowiedź systemowi jak klasyczny serwer DNS.
Przykład z cloudflared (Cloudflare, ale można ustawić inne backendy):
Zainstaluj cloudflared z repozytorium dystrybucji lub z binarki dostarczonej przez producenta.
w /etc/resolv.conf ustaw nameserver 127.0.0.1 (ew. port, jeśli korzystasz z menedżera sieci),
lub skonfiguruj NetworkManager, by używał 127.0.0.1 jako serwera DNS.
Analogicznie działa dnscrypt-proxy, który obsługuje DoH, DoT i protokół DNSCrypt. Plus jest taki, że możesz korzystać z listy zaufanych serwerów, rotować je i stosować filtry reklam.
Taki lokalny proxy to złoty środek dla użytkowników Linuksa: jedna usługa, jeden plik konfiguracyjny, pełna kontrola.
macOS – DoH z narzędziami zewnętrznymi
macOS natywnie preferuje klasyczny DNS, ale nic nie stoi na przeszkodzie, by zastosować ten sam trik co na Linuksie: lokalny proxy + ustawienie go jako serwera systemowego.
Praktyczna ścieżka:
Zainstaluj cloudflared lub dnscrypt-proxy przez Homebrew:
brew install cloudflared
Skonfiguruj usługę tak, by nasłuchiwała na 127.0.0.1:53 i wysyłała zapytania DoH.
Wejdź w Preferencje systemowe → Sieć → wybrane połączenie → Zaawansowane → DNS.
Usuń istniejące serwery DNS i dodaj 127.0.0.1.
Od tej chwili wszystkie aplikacje w macOS, które używają API systemowego DNS, będą korzystać z DoH przez lokalny proxy. Jeśli pracujesz dużo na Macu, to szybka droga do realnej poprawy prywatności bez wymiany routera.
Konfiguracja DNS over HTTPS na routerze i w sieci domowej
Gotowe routery z wbudowanym DoH/DoT
Coraz więcej producentów routerów dorzuca do firmware obsługę szyfrowanego DNS. Z punktu widzenia użytkownika to kilka kliknięć, a zyskuje na tym każde urządzenie w domu.
Typowy scenariusz (interfejsy różnią się nazwami, ale logika podobna):
Wejdź na panel routera (np. 192.168.0.1 lub 192.168.1.1), zaloguj się.
Przejdź do sekcji Internet / WAN / DNS.
Odznacz opcję „Uzyskaj DNS automatycznie od ISP”.
Wpisz adresy serwerów DNS dostawcy wspierającego DoH/DoT lub wybierz z listy (część routerów ma gotowe profile Cloudflare, Quad9 itd.).
W sekcji Bezpieczeństwo lub Zaawansowane znajdź opcję DNS over HTTPS / DNS over TLS i włącz ją.
Jeśli trzeba, podaj adres URL endpointu DoH (np. https://dns.quad9.net/dns-query).
Najczęściej zadawane pytania (FAQ)
Czy DNS over HTTPS naprawdę ukrywa moją historię przeglądania przed dostawcą internetu?
DNS over HTTPS ukrywa treść Twoich zapytań DNS przed dostawcą internetu i administratorem sieci. Zamiast widzieć konkretne domeny (np. fb.com, onet.pl), widzą tylko szyfrowane połączenie HTTPS do serwera DoH, np. cloudflare-dns.com.
Twój ISP nadal widzi, że łączysz się z konkretnymi adresami IP i kiedy to robisz, ale nie ma już prostej listy domen z logów DNS. To bardzo utrudnia budowanie szczegółowego profilu Twojej aktywności. Jeśli chcesz ograniczyć widoczność jeszcze bardziej, połącz DoH z VPN lub Torem.
Jaka jest różnica między DNS over HTTPS (DoH) a DNS over TLS (DoT)?
Oba standardy szyfrują zapytania DNS, ale robią to w inny sposób. DoH chowa DNS w zwykłym ruchu HTTPS na porcie 443, więc dla wielu firewalli wygląda jak normalne przeglądanie stron. Dzięki temu trudniej go zablokować, szczególnie w prostych sieciach domowych czy publicznych Wi‑Fi.
DoT używa protokołu TLS na dedykowanym porcie (zwykle 853), jest prostszy technicznie, ale łatwiejszy do wykrycia i zablokowania przez restrykcyjne zapory. Jeśli zależy Ci głównie na prywatności w przeglądarce i omijaniu podstawowych blokad DNS, DoH będzie praktyczniejszym wyborem.
Czy włączenie DNS over HTTPS jest legalne i czy mogę tak omijać blokady stron?
Samo korzystanie z DNS over HTTPS jest legalne w większości krajów. To po prostu inny, bezpieczniejszy sposób zadawania pytań DNS. Wiele przeglądarek włącza DoH domyślnie lub proponuje tę opcję w ustawieniach prywatności.
DoH faktycznie pozwala ominąć część blokad opartych wyłącznie na DNS (np. w szkole, pracy, na domowym routerze). Jeśli jednak blokady wynikają z przepisów prawa w Twoim kraju, ich omijanie może być niezgodne z lokalnym prawem lub regulaminem sieci. Zanim „klikniesz przełącznik”, świadomie oceń ryzyko i odpowiedzialność po swojej stronie.
Czy DNS over HTTPS wystarczy, żeby być anonimowym w sieci?
Nie. DoH chroni tylko jeden wycinek Twoich danych: treść zapytań DNS. Nie ukrywa adresów IP, z którymi się łączysz, nie maskuje Cię przed odwiedzanymi stronami i nie zatrzymuje trackerów w przeglądarce.
Jeśli chcesz realnie ograniczyć śledzenie, połącz kilka warstw ochrony:
DoH – ukrywa zapytania DNS przed lokalną siecią i ISP,
HTTPS – szyfruje treść stron (dziś standard),
VPN lub Tor – zmienia widoczne na zewnątrz IP,
blokery trackerów i rozszerzenia prywatności w przeglądarce.
Zestaw takich narzędzi daje znacznie lepszy efekt niż liczenie na „magiczny” przełącznik.
Co nadal widać o mojej aktywności, gdy mam włączony DNS over HTTPS?
DoH chowa treść zapytań DNS, ale nie zasłania wszystkiego. Dostawca internetu i administrator sieci nadal widzą:
adresy IP serwerów, z którymi się łączysz,
czas i częstotliwość połączeń,
orientacyjną ilość przesyłanych danych.
Na tej podstawie często można domyślić się dużych serwisów (np. Netflix, YouTube), bo mają charakterystyczne zakresy IP.
Sam serwer DNS obsługujący DoH widzi Twoje zapytania w pełnej krasie. Zamiast ufać DNS operatora, ufasz więc innemu podmiotowi (np. Cloudflare, Quad9, NextDNS) albo własnemu serwerowi. Wybierz dostawcę, którego polityka prywatności jest dla Ciebie akceptowalna.
Czy DNS over HTTPS może zepsuć kontrolę rodzicielską lub firmowe filtry stron?
Tak, bardzo często właśnie tak się dzieje. Jeśli kontrola rodzicielska lub firmowe blokady opierają się wyłącznie na DNS (czyli lokalny serwer DNS zwraca błędne odpowiedzi lub udaje, że domena nie istnieje), to po przełączeniu na DoH zapytania omijają ten serwer i idą do zewnętrznego dostawcy.
Efekt: część blokad przestaje działać, dopóki administrator nie zablokuje samego DoH na poziomie firewalla lub nie wymusi konkretnego dostawcy DoH. Jeżeli zależy Ci na prywatności, ale jednocześnie chcesz zachować filtrowanie (np. przed malware), wybierz usługę DoH, która oferuje profil z filtrami bezpieczeństwa zamiast całkowicie surowego DNS.
Jak wybrać najlepszego dostawcę DNS over HTTPS dla prywatności?
Najpierw określ, czego potrzebujesz: maksymalnej prywatności, ochrony przed złośliwym oprogramowaniem, a może profilu rodzinnego. Następnie porównaj kilku popularnych dostawców pod kątem:
jasnej polityki logowania (brak lub minimalne logi),
lokalizacji serwerów (wpływa na szybkość),
dodatkowych funkcji (filtrowanie malware, statystyki, blokowanie trackerów).
Przykład praktyczny: ktoś, komu zależy przede wszystkim na braku logów, wybiera serwis z polityką „no logs”. Ktoś inny, kto konfiguruje DNS dzieciom, dobierze usługę z filtrami treści 18+. Dobrze dobrany dostawca DoH to szybki, konkretny upgrade Twojej prywatności.
