DNS over HTTPS (DoH): konfiguracja i test

Spis treści

• Czym jest DNS over HTTPS (DoH) i dlaczego warto go używać?
• Przygotowanie do włączenia DoH: Wybór dostawcy i podstawowe kroki
• Włączanie DNS over HTTPS w przeglądarce Google Chrome
• Konfiguracja DNS over HTTPS w przeglądarce Mozilla Firefox
• Aktywacja DNS over HTTPS w przeglądarce Microsoft Edge
• Włączanie DNS over HTTPS na urządzeniach z systemem Android
• DNS over HTTPS w systemie Windows 11: Pełna konfiguracja
• Zaawansowana konfiguracja DoH w Windows Server: Od wersji 2025
• Włączanie DNS over HTTPS w routerach Mikrotik
• Jak sprawdzić, czy DNS over HTTPS działa poprawnie? Testy i weryfikacja
• Potencjalne problemy i rozwiązania: Co zrobić, gdy DoH nie działa?
• Wpływ DNS over HTTPS na wydajność i bezpieczeństwo sieci
• FAQ: Najczęściej zadawane pytania o DNS over HTTPS

Czym jest DNS over HTTPS (DoH) i dlaczego warto go używać?

Zanim zagłębimy się w konfigurację, kluczowe jest zrozumienie, czym jest DNS over HTTPS (DoH) i jaki problem rozwiązuje. System Nazw Domenowych (DNS) to fundamentalny mechanizm internetu, często nazywany jego „książką telefoniczną”. Gdy wpisujesz w przeglądarce adres cyberowi.pl, to właśnie serwer DNS tłumaczy tę zrozumiałą dla człowieka nazwę na adres IP (np. 104.21.29.129), który jest niezbędny komputerom do nawiązania połączenia. Tradycyjnie, to zapytanie o adres IP wysyłane jest w formie niezaszyfrowanego tekstu. Oznacza to, że każdy pośrednik na drodze do serwera DNS – Twój dostawca internetu (ISP), administrator sieci Wi-Fi w kawiarni czy potencjalny haker – może je odczytać. DNS over HTTPS (DoH) to nowoczesny protokół, który rozwiązuje ten problem, „pakując” zapytania DNS w standardowy, szyfrowany ruch HTTPS, czyli ten sam, który zabezpiecza Twoje logowanie do banku czy poczty e-mail ¹.

Główną zaletą DoH jest drastyczne zwiększenie Twojej prywatności. W tradycyjnym modelu Twój dostawca usług internetowych (ISP) widzi każdą domenę, o którą pytasz, tworząc w ten sposób szczegółową historię Twojej aktywności online. Może on wykorzystywać te dane do profilowania, celowania reklam, a w niektórych krajach jest zobowiązany do ich przechowywania i udostępniania na żądanie organów państwowych. DoH skutecznie to uniemożliwia. Ponieważ Twoje zapytanie DNS jest ukryte w strumieniu zaszyfrowanego ruchu HTTPS, Twój ISP widzi jedynie, że łączysz się z serwerem DoH (np. serwerem Cloudflare lub Google), ale nie ma pojęcia, o jakie konkretne strony pytasz . To tak, jakby wysłać list w zapieczętowanej, nieprzezroczystej kopercie zamiast na otwartej pocztówce.

Drugim filarem korzyści jest bezpieczeństwo. Nieszyfrowany DNS jest podatny na ataki typu „Man-in-the-Middle”, gdzie cyberprzestępca przechwytuje Twoje zapytanie i podmienia odpowiedź. W praktyce może to oznaczać, że próbując wejść na stronę swojego banku, zostaniesz po cichu przekierowany na jej fałszywą, łudząco podobną wersję, stworzoną w celu kradzieży Twoich danych logowania. DoH znacząco utrudnia takie ataki. Szyfrowanie i uwierzytelnianie, będące częścią protokołu HTTPS, gwarantują, że komunikujesz się z właściwym serwerem DNS i że odpowiedź, którą otrzymujesz, nie została po drodze zmodyfikowana . Dzięki temu masz pewność, że adres IP, który otrzymuje Twoja przeglądarka, faktycznie należy do strony, którą chciałeś odwiedzić.

Aby w pełni zobrazować różnice, spójrzmy na bezpośrednie porównanie obu technologii.

Cecha	Tradycyjny DNS	DNS over HTTPS (DoH)
Szyfrowanie	Brak (zapytania w formie jawnego tekstu)	Pełne (zapytania ukryte w ruchu HTTPS)
Widoczność dla ISP	Pełna (ISP widzi każdą odwiedzaną domenę)	Ograniczona (ISP widzi tylko połączenie z serwerem DoH)
Standardowy port	UDP/TCP 53	TCP 443 (standardowy port HTTPS)
Podatność na ataki	Podatny na podsłuch i manipulację (np. DNS spoofing)	Wysoka odporność na podsłuch i manipulację

Warto jednak pamiętać o pewnym kompromisie. Włączając DoH, przenosimy zaufanie z dostawcy

Przygotowanie do włączenia DoH: Wybór dostawcy i podstawowe kroki

Zanim przejdziemy do technicznych instrukcji, musimy podjąć najważniejszą decyzję: komu powierzymy nasze zapytania DNS. Wybór dostawcy usługi DNS over HTTPS to nie tylko kwestia techniczna, ale przede wszystkim kwestia zaufania. Podmiot, który będzie obsługiwał zapytania, teoretycznie zyska wgląd w listę wszystkich stron internetowych, które odwiedzasz. Dlatego kluczowe jest, aby wybrać firmę o solidnej reputacji i transparentnej polityce prywatności, która jest zgodna z oczekiwaniami. Niektórzy dostawcy stawiają na maksymalną szybkość, inni na bezkompromisową prywatność, a jeszcze inni oferują dodatkowe funkcje, takie jak blokowanie złośliwego oprogramowania czy reklam.

Na rynku istnieje wielu dostawców usług DoH, z których każdy ma nieco inną filozofię działania. Poniższa tabela przedstawia czterech popularnych i cenionych graczy, wraz z kluczowymi informacjami, które pomogą Ci dokonać świadomego wyboru. Zwróć szczególną uwagę na adres URL serwera DoH – będzie on potrzebny, jeśli zdecydujesz się na ręczną konfigurację w systemie lub przeglądarce, która nie ma danego dostawcy na swojej domyślnej liście.

Dostawca	Adres URL serwera DoH	Główne zalety	Polityka prywatności (w skrócie)
Cloudflare	https://cloudflare-dns.com/dns-query	Szybkość, silny nacisk na prywatność, globalna sieć serwerów.	Deklaruje usuwanie wszystkich logów zapytań w ciągu 24 godzin. Nie sprzedaje danych użytkowników.
Google Public DNS	https://dns.google/dns-query	Wysoka niezawodność, integracja z ekosystemem Google, dobra wydajność.	Przechowuje tymczasowe logi (24-48h) z pełnym adresem IP oraz stałe logi bez danych osobowych.
Quad9	https://dns.quad9.net/dns-query	Bezpieczeństwo – blokuje dostęp do znanych domen ze złośliwym oprogramowaniem i phishingiem.	Nie przechowuje żadnych danych osobowych (w tym adresów IP) w swoich systemach.
NextDNS	https://dns.nextdns.io/	Ogromne możliwości konfiguracji, filtrowanie reklam i trackerów, kontrola rodzicielska.	Logi są przechowywane dla celów analitycznych (widocznych w panelu użytkownika), ale można je wyłączyć.

Wybór dostawcy to często kompromis między trzema kluczowymi aspektami: prywatnością, bezpieczeństwem i wydajnością. Jeśli priorytetem jest anonimowość i minimalizacja zbieranych danych, Cloudflare i Quad9 będą doskonałym wyborem. Jeśli zależy na proaktywnym blokowaniu zagrożeń z sieci, takich jak wirusy czy strony wyłudzające dane, Quad9 oferuje tę funkcję „w standardzie”. Z kolei dla użytkowników, którzy chcą mieć pełną kontrolę nad swoją siecią, w tym możliwość tworzenia własnych list blokowania (np. reklam, trackerów, serwisów społecznościowych), NextDNS jest bezkonkurencyjny, choć wymaga założenia konta i wstępnej konfiguracji.

Gdy już wybierzesz dostawcę, ostatnim krokiem przygotowawczym jest zorientowanie się, gdzie w ogóle szukać odpowiednich ustawień. Konfiguracja DoH odbywa się zazwyczaj w jednym z dwóch miejsc:

1. W ustawieniach przeglądarki internetowej (Chrome, Firefox, Edge) – w tym przypadku szyfrowanie DNS będzie działać tylko dla ruchu generowanego przez tę konkretną przeglądarkę.
2. W ustawieniach systemu operacyjnego (Windows, Android) – ta metoda jest bardziej kompleksowa, ponieważ obejmuje swoim działaniem wszystkie aplikacje łączące się z internetem na danym urządzeniu.

W kolejnych sekcjach tego poradnika pokażemy krok po kroku, jak włączyć DoH w każdym z tych miejsc. Większość narzędzi konfiguracyjnych pozwoli Ci wybrać jednego z popularnych dostawców z predefiniowanej listy (np. Cloudflare) lub wkleić własny adres URL serwera DoH, który wybrałeś ². Mając pod ręką adres z powyższej tabeli, będziesz gotowy do działania.

Włączanie DNS over HTTPS w przeglądarce Google Chrome

Google Chrome, jako najpopularniejsza przeglądarka na świecie, posiada wbudowaną i łatwą w konfiguracji funkcję DNS over HTTPS, nazywaną „Bezpiecznym DNS”. Jej aktywacja to jeden z najprostszych sposobów na rozpoczęcie przygody z szyfrowaniem zapytań DNS, ponieważ nie wymaga instalacji dodatkowego oprogramowania. Cały proces zamyka się w kilku kliknięciach w ustawieniach przeglądarki, co pozwala na natychmiastowe podniesienie poziomu prywatności podczas przeglądania sieci. Poniżej przeprowadzimy Cię krok po kroku przez cały proces.

Aby włączyć DoH, musisz najpierw dostać się do odpowiedniej sekcji w ustawieniach przeglądarki. Nawigacja jest prosta i intuicyjna. Cała konfiguracja znajduje się w menu poświęconym bezpieczeństwu, co logicznie podkreśla główną zaletę tej technologii ³.

Instrukcja krok po kroku:

1. Otwórz przeglądarkę Google Chrome.
2. Kliknij ikonę trzech pionowych kropek w prawym górnym rogu okna, aby otworzyć menu.
3. Wybierz z menu opcję Ustawienia.
4. W menu po lewej stronie kliknij Prywatność i bezpieczeństwo.
5. W głównej części okna wybierz pozycję Bezpieczeństwo.
6. Przewiń w dół do sekcji „Zaawansowane” i znajdź opcję Użyj bezpiecznego serwera DNS.

Po dotarciu do właściwego miejsca zobaczysz dwie główne możliwości konfiguracji. Domyślnie zaznaczona jest opcja „Użyj obecnego dostawcy usług”. Oznacza to, że Chrome spróbuje użyć DoH tylko wtedy, gdy Twój systemowy serwer DNS (najczęściej ten od dostawcy internetu) go obsługuje, co w Polsce jest rzadkością. Aby mieć pewność, że DoH zawsze działa, musisz aktywnie wybrać drugą opcję: Wybierz innego dostawcę.

Po zaznaczeniu opcji „Wybierz innego dostawcę” masz do dyspozycji dwie ścieżki ². Pierwsza, najprostsza, to wybór jednego z predefiniowanych, zaufanych dostawców usługi DoH z rozwijanej listy. Google umieściło tam kilku popularnych graczy, takich jak Cloudflare (1.1.1.1), Quad9 czy Google Public DNS. Jest to zalecane rozwiązanie dla większości użytkowników. Druga ścieżka to wybranie opcji Niestandardowy i ręczne wprowadzenie adresu URL serwera DoH od wybranego przez siebie dostawcy (którego mogłeś wybrać na podstawie informacji z poprzedniej sekcji tego poradnika). Adres ten musi być podany w odpowiednim formacie.

Poniżej znajdziesz przykładowe adresy URL dla popularnych dostawców, które możesz wpisać w polu „Niestandardowy”:

Dostawca	Adres URL serwera DoH do wpisania w Chrome
Cloudflare	https://chrome.cloudflare-dns.com/dns-query
Google	https://dns.google/dns-query
Quad9	https://dns.quad9.net/dns-query
AdGuard	https://dns.adguard-dns.com/dns-query

Po wybraniu dostawcy z listy lub wpisaniu niestandardowego adresu URL, Chrome automatycznie zapisze ustawienia. Jeśli wprowadzony adres będzie nieprawidłowy, przeglądarka wyświetli komunikat o błędzie, a rozwiązywanie nazw domen przestanie działać. Dlatego kluczowe jest upewnienie się, że wpisany URL jest poprawny. O tym, jak finalnie sprawdzić, czy zapytania są już szyfrowane, dowiesz się z dedykowanej sekcji naszego poradnika.

Konfiguracja DNS over HTTPS w przeglądarce Mozilla Firefox

Mozilla Firefox, jako jeden z pionierów wdrażania technologii zorientowanych na prywatność, oferuje zaawansowaną i jednocześnie prostą w obsłudze implementację DNS over HTTPS. W przeciwieństwie do Chrome, gdzie funkcja jest włączona domyślnie w trybie automatycznym dla kompatybilnych dostawców, Firefox daje użytkownikowi pełną kontrolę nad jej aktywacją i wyborem serwera od samego początku. Konfiguracja odbywa się w dedykowanej sekcji ustawień, co pozwala na świadome zarządzanie sposobem, w jaki przeglądarka tłumaczy nazwy domen.

Aby włączyć i skonfigurować DoH w przeglądarce Firefox, postępuj zgodnie z poniższymi krokami, które są spójne dla większości nowoczesnych wersji programu:

1. Otwórz Ustawienia: Kliknij ikonę menu (trzy poziome paski) w prawym górnym rogu okna przeglądarki i wybierz z listy Ustawienia.
2. Przejdź do sekcji Prywatność i bezpieczeństwo: W menu po lewej stronie kliknij Prywatność i bezpieczeństwo.
3. Znajdź ustawienia DNS: Przewiń stronę w dół aż do sekcji Bezpieczne rozwiązywanie DNS (ang. Secure DNS). To właśnie tutaj znajduje się cała konfiguracja DoH ⁴.

W tej sekcji znajdziesz kilka poziomów ochrony do wyboru. Domyślnie zaznaczona jest opcja Domyślna ochrona, która włącza DoH tylko wtedy, gdy Twój systemowy dostawca DNS znajduje się na liście partnerów Mozilli. Aby przejąć pełną kontrolę, wybierz jedną z pozostałych opcji:

• Zwiększona ochrona: Pozwala na ręczny wybór dostawcy DoH z predefiniowanej listy. Jeśli wybrany serwer zawiedzie, Firefox nie użyje niezabezpieczonego systemowego DNS, co może skutkować brakiem dostępu do niektórych stron.
• Maksymalna ochrona: Działa podobnie do Zwiększonej, ale dodatkowo wyświetla ostrzeżenie o problemach z połączeniem, jeśli serwer DoH nie odpowiada. Jest to najbardziej restrykcyjne i bezpieczne ustawienie.

Po wybraniu opcji „Zwiększona ochrona” lub „Maksymalna ochrona” pojawi się menu Wybierz dostawcę. Możesz tutaj wybrać jednego z zaufanych, wbudowanych partnerów, takich jak Cloudflare czy NextDNS, lub skonfigurować własny serwer ². Aby dodać niestandardowego dostawcę, wybierz z listy opcję Niestandardowy. W nowym polu tekstowym, które się pojawi, musisz wpisać pełny adres URL punktu końcowego DoH. Aby to zrobić, kliknij przycisk Ustawienia… i zaznacz opcję Włącz DNS over HTTPS .

Dostawca	Adres URL dla konfiguracji niestandardowej
Google	https://dns.google/dns-query
Quad9	https://dns.quad9.net/dns-query
AdGuard	https://dns.adguard-dns.com/dns-query

Aby zweryfikować, czy DoH działa poprawnie bezpośrednio w przeglądarce, wpisz w pasku adresu about:networking#dns i naciśnij Enter. W tabeli, która się wyświetli, poszukaj kolumny TRR (Trusted Recursive Resolver, wewnętrzna nazwa Mozilli dla DoH). Jeśli przy nazwach domen widzisz wartość true, oznacza to, że zapytania DNS dla tych witryn są pomyślnie szyfrowane przy użyciu DoH. Wartość false wskazuje na użycie tradycyjnego, nieszyfrowanego DNS. To potężne narzędzie diagnostyczne pozwala precyzyjnie sprawdzić, jak Firefox obsługuje Twoje zapytania.

Aktywacja DNS over HTTPS w przeglądarce Microsoft Edge

Microsoft Edge, bazujący na tym samym silniku Chromium co Google Chrome, również oferuje wbudowaną funkcję bezpiecznego DNS. Proces aktywacji jest prosty i dostępny bezpośrednio w ustawieniach przeglądarki, choć dla starszych wersji lub w specyficznych przypadkach konieczne może być sięgnięcie do menu funkcji eksperymentalnych. Poniżej przedstawiamy obie metody, zaczynając od tej standardowej i zalecanej dla wszystkich aktualnych wersji przeglądarki.

Konfiguracja DoH w ustawieniach (metoda zalecana)

W najnowszych wersjach Microsoft Edge funkcja DNS over HTTPS jest zintegrowana z głównym panelem ustawień prywatności. To najprostszy i najbardziej przejrzysty sposób na jej włączenie i skonfigurowanie.

Krok 1: Otwórz ustawienia prywatności Przejdź do menu przeglądarki, klikając trzy kropki w prawym górnym rogu, a następnie wybierz Ustawienia. W menu po lewej stronie znajdź i kliknij sekcję Prywatność, wyszukiwanie i usługi.

Krok 2: Znajdź i włącz bezpieczny DNS Przewiń stronę w dół aż do sekcji Zabezpieczenia. Znajdziesz tam opcję o nazwie Użyj bezpiecznego serwera DNS, aby określić sposób wyszukiwania adresu sieciowego dla witryn internetowych. Włącz ją za pomocą przełącznika.

Krok 3: Wybierz dostawcę usługi DoH Po włączeniu funkcji pojawią się dwie możliwości konfiguracji:

• Użyj bieżącego dostawcy usług: Ta opcja spróbuje automatycznie użyć wersji DoH Twojego obecnego dostawcy DNS (np. z systemu operacyjnego lub routera), jeśli ten ją oferuje. Jest to wygodne, ale nie daje gwarancji, że ruch będzie szyfrowany, jeśli dostawca nie wspiera DoH.
• Wybierz dostawcę usług: To opcja, która daje Ci pełną kontrolę. Pozwala na ręczny wybór serwera DoH. Możesz wybrać jednego z predefiniowanych dostawców z listy (np. Cloudflare (1.1.1.1), Google (Public DNS)) lub wprowadzić adres URL niestandardowego serwera ².

Aby dodać własnego dostawcę, wybierz opcję Wybierz dostawcę usług, a następnie w polu poniżej wklej adres URL punktu końcowego DoH. Przykładowo, dla usługi NextDNS będzie to adres w formacie https://dns.nextdns.io/TWOJ_ID.

Opcja wyboru dostawcy	Kiedy używać?	Przykład
Użyj bieżącego dostawcy	Gdy ufasz swojemu dostawcy internetu i wiesz, że wspiera on DoH.	Automatyczne wykrywanie
Wybierz dostawcę usług	Gdy chcesz mieć 100% pewności i pełną kontrolę nad tym, kto obsługuje Twoje zapytania DNS.	Wybór z listy (np. Cloudflare) lub wpisanie https://dns.quad9.net/dns-query

Włączanie DoH przez flagi eksperymentalne (metoda dla starszych wersji)

Jeśli w ustawieniach prywatności nie widzisz opcji bezpiecznego DNS, prawdopodobnie używasz starszej wersji Edge. W takim przypadku możesz wymusić aktywację tej funkcji za pomocą tzw. flag. Flagi to przełączniki ukrytych, eksperymentalnych funkcji przeglądarki.

1. Otwórz nową kartę w przeglądarce Edge.
2. W pasku adresu wpisz edge://flags/#dns-over-https i naciśnij Enter ⁵.
3. Zostaniesz przeniesiony bezpośrednio do opcji o nazwie Secure DNS lookups.
4. Zmień jej wartość z Default na Enabled.
5. Po dokonaniu zmiany na dole ekranu pojawi się przycisk Uruchom ponownie – kliknij go, aby zrestartować przeglądarkę i zastosować nowe ustawienie.

Włączenie tej flagi aktywuje mechanizm DoH, ale konfiguracja dostawcy nadal odbywa się w ustawieniach prywatności, które po tym kroku powinny stać się widoczne ⁶. Jeśli opcje konfiguracyjne się nie pojawią, przeglądarka spróbuje użyć domyślnego dostawcy DoH. Dlatego metoda ta jest zalecana głównie jako sposób na odblokowanie funkcji w starszych wersjach, a nie jako główny sposób konfiguracji. Po włączeniu flagi zawsze wróć do ustawień prywatności, aby upewnić się, że używany jest preferowany przez Ciebie serwer.

Włączanie DNS over HTTPS na urządzeniach z systemem Android

Zabezpieczenie zapytań DNS na urządzeniach mobilnych z Androidem jest kluczowe, ponieważ często łączymy się z niezaufanymi sieciami Wi-Fi. System Android oferuje dwie główne ścieżki wdrożenia DNS over HTTPS: za pomocą dedykowanych aplikacji upraszczających proces lub poprzez wbudowaną w system funkcję „Prywatny DNS”. Wybór metody zależy głównie od wersji Androida na Twoim urządzeniu oraz od tego, czy korzystasz już z innej usługi VPN. Obie metody skutecznie szyfrują Twoje zapytania DNS, chroniąc je przed podsłuchiwaniem i manipulacją przez operatorów sieci.

Metoda 1: Użycie dedykowanej aplikacji (np. 1.1.1.1 od Cloudflare)

Najprostszym i najbardziej uniwersalnym sposobem na włączenie szyfrowanego DNS na Androidzie, zwłaszcza na starszych wersjach systemu (poniżej 9.0 Pie), jest skorzystanie z dedykowanej aplikacji. Aplikacje takie jak 1.1.1.1 od Cloudflare, Quad9 Connect czy NextDNS działają w tle, przechwytując cały ruch DNS z telefonu. Aby to osiągnąć, wykorzystują one systemowy interfejs VPN, tworząc lokalny tunel, przez który kierowane są wyłącznie zapytania DNS do zaszyfrowania i wysłania do wybranego serwera DoH lub DoT (DNS over TLS) ⁷. To sprytne rozwiązanie, które nie wymaga zaawansowanej konfiguracji i działa dla wszystkich aplikacji na telefonie.

Instrukcja krok po kroku (na przykładzie aplikacji 1.1.1.1):

1. Pobierz aplikację: Otwórz Sklep Google Play, wyszukaj „1.1.1.1” i zainstaluj oficjalną aplikację od Cloudflare.
2. Uruchom i aktywuj: Otwórz aplikację. Zobaczysz duży przełącznik na środku ekranu. Przesuń go, aby włączyć ochronę.
3. Zezwól na połączenie VPN: Przy pierwszym uruchomieniu Android poprosi o zgodę na skonfigurowanie połączenia VPN przez aplikację. Jest to standardowa procedura systemowa. Kliknij „OK” lub „Zezwól”.
4. Weryfikacja: Gdy przełącznik jest w pozycji „ON” (Włączone), a na górnym pasku stanu telefonu pojawi się ikona klucza (symbol aktywnego VPN), Twoje zapytania DNS są już chronione. Aplikacja 1.1.1.1 oferuje również dodatkową, opcjonalną warstwę ochrony WARP, która działa jak pełnoprawny VPN, szyfrując cały ruch internetowy, a nie tylko DNS.

Metoda 2: Konfiguracja natywnej funkcji „Prywatny DNS” (Android 9.0 Pie i nowsze)

Począwszy od wersji 9.0 Pie, system Android posiada wbudowaną funkcję o nazwie „Prywatny DNS” (Private DNS), która pozwala na skonfigurowanie szyfrowanego DNS na poziomie całego systemu bez potrzeby instalowania dodatkowych aplikacji i bez zajmowania slotu VPN. Jest to bardziej eleganckie i zintegrowane rozwiązanie. Funkcja ta technicznie obsługuje zarówno DNS over TLS (DoT), jak i DNS over HTTPS (DoH), w zależności od tego, jak skonfigurowany jest serwer docelowy podany przez użytkownika.

Instrukcja krok po kroku:

1. Otwórz Ustawienia: Wejdź w główne „Ustawienia” systemu Android.
2. Znajdź ustawienia sieci: Przejdź do sekcji „Sieć i internet” lub „Połączenia” (nazewnictwo może się różnić w zależności od nakładki producenta).
3. Wybierz Prywatny DNS: Znajdź i wybierz opcję „Prywatny DNS” (czasem ukrytą w „Ustawieniach zaawansowanych”).
4. Skonfiguruj dostawcę: Domyślnie opcja jest ustawiona na „Automatyczny” lub „Wyłączony”. Wybierz opcję „Nazwa hosta dostawcy prywatnego serwera DNS” (lub podobną).
5. Wprowadź adres serwera: W polu tekstowym wpisz adres URL serwera DoH, który chcesz używać. Poniżej znajdują się przykłady dla popularnych dostawców.

Dostawca	Adres hosta dla funkcji „Prywatny DNS”
Cloudflare	one.one.one.one lub 1dot1dot1dot1.cloudflare-dns.com
Google	dns.google
Quad9	dns.quad9.net
AdGuard	dns.adguard-dns.com

Po wpisaniu adresu i zapisaniu ustawień, system automatycznie spróbuje nawiązać szyfrowane połączenie. Jeśli adres jest poprawny i serwer działa, pod nazwą opcji „Prywatny DNS” powinien pojawić się wpisany przez Ciebie adres hosta, co potwierdza aktywne połączenie. Jeśli wystąpią problemy z łącznością, system automatycznie powróci do standardowego, nieszyfrowanego DNS, aby nie utracić dostępu do internetu.

DNS over HTTPS w systemie Windows 11: Pełna konfiguracja

Włączenie DNS over HTTPS (DoH) na poziomie całego systemu operacyjnego to najskuteczniejszy sposób na zabezpieczenie zapytań DNS generowanych przez wszystkie aplikacje na Twoim komputerze, a nie tylko przez przeglądarkę internetową. W przeciwieństwie do konfiguracji w Chrome czy Firefox, systemowe ustawienie DoH obejmuje swoim działaniem klientów poczty e-mail, komunikatory, gry online, a nawet procesy aktualizacji systemu. Windows 11, jako pierwszy system Microsoftu, wprowadził natywne i stosunkowo proste w obsłudze wsparcie dla tej technologii, co pozwala na jej wdrożenie bez konieczności instalowania dodatkowego oprogramowania ⁸. Poniżej znajduje się szczegółowy przewodnik, który krok po kroku przeprowadzi Cię przez cały proces.

Konfiguracja DoH w systemie Windows 11 odbywa się w ustawieniach połączenia sieciowego. Choć ścieżka może wydawać się na początku nieco zawiła, wystarczy postępować zgodnie z poniższymi instrukcjami, aby poprawnie włączyć szyfrowanie DNS.

1. Otwórz Ustawienia: Naciśnij klawisze Win + I lub kliknij menu Start i wybierz ikonę koła zębatego („Ustawienia”).
2. Przejdź do ustawień sieci: W menu po lewej stronie wybierz „Sieć i internet”.
3. Wybierz aktywne połączenie: W zależności od tego, jak łączysz się z internetem, wybierz „Wi-Fi” lub „Ethernet”. Następnie kliknij „Właściwości sprzętu” dla aktywnej sieci.
4. Edytuj przypisanie serwera DNS: Zjedź niżej, aż znajdziesz sekcję „Przypisanie serwera DNS” i kliknij przycisk „Edytuj”.
5. Wprowadź ręczne ustawienia: W nowym oknie zmień opcję z „Automatycznie (DHCP)” na „Ręcznie”.
6. Włącz i skonfiguruj serwery DNS: Włącz przełącznik dla protokołu IPv4 (jest to najczęstszy scenariusz). W polach „Preferowany serwer DNS” i „Alternatywny serwer DNS” wpisz adresy IP wybranego dostawcy. Na przykład, dla Cloudflare będą to 1.1.1.1 oraz 1.0.0.1.
7. Aktywuj szyfrowanie DoH: Poniżej pól z adresami IP znajdziesz kluczową opcję: „Szyfrowanie preferowanego serwera DNS”. Rozwiń listę i wybierz jedną z opcji:
   • Tylko szyfrowane (DNS przez HTTPS): To najbezpieczniejszy wybór. System będzie używał wyłącznie szyfrowanych zapytań. Jeśli z jakiegoś powodu połączenie DoH zawiedzie, system nie wróci do nieszyfrowanego DNS, co może skutkować brakiem dostępu do internetu, ale gwarantuje maksymalną prywatność.
   • Preferowane szyfrowanie, dozwolone nieszyfrowane: Ustawienie domyślne, które próbuje użyć DoH, ale jeśli to się nie uda, wraca do tradycyjnych, nieszyfrowanych zapytań DNS. Jest to opcja bardziej niezawodna, ale mniej bezpieczna.
8. Zapisz zmiany: Kliknij przycisk „Zapisz”, aby zastosować nową konfigurację.

Windows 11 ułatwia wybór dostawcy DoH, ponieważ system posiada wbudowaną listę popularnych usług, takich jak Cloudflare, Google czy Quad9 ². Po wpisaniu adresu IP jednego z tych dostawców (np. 8.8.8.8 dla Google), system automatycznie rozpozna go i udostępni opcje szyfrowania. Jeśli chcesz skorzystać z mniej popularnego dostawcy, który nie jest na liście, musisz ręcznie dodać jego szablon DoH. Można to zrobić, wpisując adresy IP, a następnie w polu „Szyfrowanie DNS” wybrać opcję ręcznego wprowadzenia szablonu i wkleić tam odpowiedni adres URL, który znajdziesz w dokumentacji swojego dostawcy.

Dostawca	Preferowany DNS (IPv4)	Alternatywny DNS (IPv4)	Automatycznie rozpoznawany przez Windows 11?
Cloudflare	1.1.1.1	1.0.0.1	Tak
Google	8.8.8.8	8.8.4.4	Tak
Quad9	9.9.9.9	149.112.112.112	Tak

Warto pamiętać o jednej ważnej zasadzie: ustawienia DoH skonfigurowane bezpośrednio w przeglądarce internetowej (np. w Chrome lub Firefox) mają zazwyczaj wyższy priorytet niż ustawienia systemowe. Oznacza to, że jeśli w systemie Windows ustawisz DoH od Cloudflare, a w przeglądarce Firefox od NextDNS, to ruch generowany przez Firefox będzie kierowany przez serwery NextDNS, podczas gdy reszta aplikacji systemowych będzie korzystać z Cloudflare. Taka konfiguracja daje dużą elastyczność, ale wymaga świadomego zarządzania, aby uniknąć niespójności w polityce prywatności.

Zaawansowana konfiguracja DoH w Windows Server: Od wersji 2025

Wraz z rosnącym zapotrzebowaniem na prywatność i bezpieczeństwo w sieciach korporacyjnych, Microsoft wprowadza natywne wsparcie dla DNS over HTTPS (DoH) po stronie serwera. Ta funkcjonalność, skierowana do administratorów systemów, pozwala na oferowanie zaszyfrowanych zapytań DNS bezpośrednio z własnej infrastruktury. Możliwość włączenia DoH w usłudze serwera DNS pojawi się w systemie Windows Server 2025, począwszy od aktualizacji zabezpieczeń oznaczonej jako KB5075899, planowanej na luty 2026 roku . Dzięki temu organizacje będą mogły zapewnić swoim pracownikom i systemom końcowym spójny, bezpieczny i kontrolowany mechanizm rozwiązywania nazw, eliminując zależność od zewnętrznych dostawców DoH i zachowując pełną kontrolę nad ruchem DNS.

Implementacja DoH na serwerze DNS w systemie Windows Server wymaga kilku kroków przygotowawczych, które wykraczają poza standardową konfigurację roli DNS. W początkowej fazie wdrażania tej technologii, aby ją aktywować, konieczne jest zażądanie dostępu do publicznej wersji zapoznawczej dedykowanego narzędzia DoH ⁹. Oznacza to, że administratorzy zainteresowani wczesnym testowaniem i wdrożeniem muszą zgłosić chęć udziału w programie Microsoftu, co jest typową procedurą dla nowych, zaawansowanych funkcji serwerowych. Po uzyskaniu dostępu, kluczowym elementem konfiguracji jest przypisanie ważnego certyfikatu TLS do serwera DNS, co jest niezbędne do szyfrowania komunikacji HTTPS. Bez poprawnie skonfigurowanego certyfikatu, nawiązanie bezpiecznego połączenia DoH nie będzie możliwe.

Gdy wstępne wymagania są spełnione, konfiguracja DoH sprowadza się do kilku precyzyjnych działań. Proces ten najwygodniej przeprowadzić z użyciem wiersza poleceń PowerShell, który oferuje dedykowane cmdlety do zarządzania ustawieniami serwera DNS.

Kroki konfiguracji DoH na serwerze DNS:

1. Włączenie DoH: Użyj polecenia Set-DnsServerDohSettings -Enable $true, aby aktywować obsługę DoH na serwerze.
2. Powiązanie certyfikatu: Wskaż serwerowi, którego certyfikatu ma używać do szyfrowania sesji. Zazwyczaj robi się to poprzez podanie odcisku palca (thumbprint) certyfikatu.
3. Konfiguracja zapory sieciowej: To kluczowy i często pomijany krok. Należy skonfigurować reguły zapory sieciowej (Windows Defender Firewall lub innej), aby zezwolić na przychodzący ruch HTTPS na porcie TCP 443, kierowany do usługi serwera DNS . Bez tej reguły wszystkie próby połączenia DoH z zewnątrz zostaną zablokowane.

Po pomyślnym wdrożeniu administrator musi mieć możliwość weryfikacji działania usługi oraz diagnozowania ewentualnych problemów. W tym celu w systemie Windows Server należy włączyć specjalne zdarzenia analityczne przeznaczone dla platformy DoH, aby móc monitorować zaszyfrowane zapytania DNS . Domyślnie te szczegółowe logi są wyłączone ze względu na wydajność. Ich aktywacja w Podglądzie Zdarzeń (Event Viewer) w gałęzi Microsoft-Windows-DNS-Server daje dostęp do bezcennych informacji. Zdarzenia analityczne DoH zawierają szczegółowe dane o każdym przetworzonym zapytaniu, takie jak nazwa domeny, typ zapytania (np. A, AAAA, MX), kod odpowiedzi serwera (np. NOERROR, NXDOMAIN) oraz czas potrzebny na jego przetworzenie . Analiza tych logów pozwala nie tylko potwierdzić, że DoH działa poprawnie, ale również identyfikować próby nadużyć, błędy konfiguracyjne czy wąskie gardła wydajnościowe w infrastrukturze DNS.

Włączanie DNS over HTTPS w routerach Mikrotik

Skonfigurowanie DNS over HTTPS na poziomie routera Mikrotik to najskuteczniejszy sposób na objęcie szyfrowaniem zapytań DNS wszystkich urządzeń w Twojej sieci domowej lub firmowej, bez konieczności modyfikacji każdego z nich z osobna. Proces ten jest przeznaczony dla bardziej zaawansowanych użytkowników, ponieważ wymaga kilku kroków wewnątrz systemu RouterOS, ale zapewnia kompleksową ochronę. Kluczowym elementem jest zapewnienie, aby router ufał serwerowi DoH, z którym się łączy, co realizujemy poprzez import odpowiedniego certyfikatu Głównego Urzędu Certyfikacji (CA). Bez tego certyfikatu szyfrowane połączenie nie zostanie nawiązane.

Pierwszym i najważniejszym krokiem jest pobranie i zaimportowanie certyfikatu głównego (root CA) dla wybranego dostawcy DoH. W przypadku popularnego serwisu Cloudflare (1.1.1.1), potrzebny będzie certyfikat DigiCert Global Root CA. Można go pobrać bezpośrednio ze strony DigiCert, najczęściej w formacie .pem lub .crt. Po pobraniu pliku na swój komputer, należy go wgrać na router.

Krok po kroku: Import certyfikatu w WinBox/WebFig

1. Otwórz WinBox lub WebFig i zaloguj się na swój router.
2. Przejdź do sekcji Files.
3. Przeciągnij i upuść pobrany plik certyfikatu (np. DigiCertGlobalRootCA.crt.pem) do okna listy plików.
4. Przejdź do System -> Certificates.
5. Kliknij przycisk Import. W nowym oknie, w polu File Name, wybierz z listy wgrany wcześniej plik certyfikatu. Pozostaw pole Passphrase puste (chyba że certyfikat jest zabezpieczony hasłem) i kliknij Import. Certyfikat powinien pojawić się na liście z flagą T (Trusted) ¹⁰.

Gdy certyfikat jest już na swoim miejscu, możemy przejść do właściwej konfiguracji usługi DoH. W systemie RouterOS ustawienia te znajdują się w sekcji odpowiedzialnej za DNS. Należy podać adres URL serwera DoH i włączyć weryfikację certyfikatu, aby upewnić się, że połączenie jest bezpieczne. Poniżej znajdują się adresy URL dla najpopularniejszych dostawców:

Dostawca	Adres URL serwera DoH
Cloudflare	https://cloudflare-dns.com/dns-query
Google	https://dns.google/dns-query
Quad9	https://dns.quad9.net/dns-query

Aby włączyć DoH w interfejsie graficznym, przejdź do IP -> DNS. W oknie ustawień DNS, w polu Use DoH Server wklej wybrany adres URL (np. https://cloudflare-dns.com/dns-query). Następnie upewnij się, że opcja Verify DoH Certificate jest zaznaczona. Po kliknięciu Apply, router spróbuje nawiązać połączenie z serwerem DoH. Jeśli wszystko przebiegło pomyślnie, w polu Dynamic Servers powinien pojawić się adres IP serwera DoH, którego router zaczął używać.

Dla użytkowników preferujących pracę w terminalu, całą operację można wykonać za pomocą dwóch komend. Pierwsza importuje certyfikat, a druga konfiguruje usługę DNS:

# Krok 1: Import certyfikatu (upewnij się, że plik jest już wgrany na router)
/certificate import file-name=DigiCertGlobalRootCA.crt.pem

# Krok 2: Konfiguracja DNS z włączonym DoH i weryfikacją certyfikatu
/ip dns set use-doh-server="https://cloudflare-dns.com/dns-query" verify-doh-cert=yes

Aby zweryfikować poprawność działania, połącz się z siecią zarządzaną przez router Mikrotik i odwiedź stronę testową, taką jak 1.1.1.1/help lub on.quad9.net. Jeśli test wykaże, że używasz bezpiecznego DNS (DoH), oznacza to, że konfiguracja na routerze zakończyła się sukcesem i cała Twoja sieć jest chroniona. W przypadku problemów najczęstszą przyczyną jest błędny lub nieważny certyfikat CA lub reguła firewalla na routerze blokująca wychodzący ruch HTTPS (port 443) z samego urządzenia.

Jak sprawdzić, czy DNS over HTTPS działa poprawnie? Testy i weryfikacja

Samo włączenie funkcji DNS over HTTPS (DoH) to dopiero połowa sukcesu. Kluczowe jest upewnienie się, że Twoje zapytania DNS faktycznie są szyfrowane i przesyłane przez wybranego dostawcę. Bez weryfikacji możesz żyć w fałszywym poczuciu bezpieczeństwa, podczas gdy Twoje dane wciąż są wysyłane starym, niezabezpieczonym kanałem. Na szczęście istnieje kilka prostych i niezawodnych metod, aby sprawdzić, czy konfiguracja DoH działa prawidłowo na Twoim urządzeniu, w przeglądarce czy w całej sieci.

Podstawowy test online: Strona diagnostyczna Cloudflare

Najszybszym i najbardziej uniwersalnym sposobem na weryfikację jest skorzystanie ze specjalnie przygotowanej strony internetowej. Nawet jeśli nie używasz serwerów DNS od Cloudflare, ich narzędzie jest w stanie wykryć sam fakt korzystania z protokołu DoH.

Kroki do wykonania:

1. Otwórz przeglądarkę, w której (lub w systemie, z którego korzysta) skonfigurowałeś DoH.
2. Przejdź pod adres: https://1.1.1.1/help
3. Poczekaj chwilę na zakończenie testów i odszukaj sekcję „Connectivity to 1.1.1.1”.

Twoim celem jest znalezienie w tabeli wiersza „Using DNS over HTTPS (DoH)”. Jeśli obok niego widnieje zielony znacznik i napis „Yes” (Tak), oznacza to, że Twoja przeglądarka lub system poprawnie korzysta z szyfrowanych zapytań DNS ¹¹. Jeśli widzisz „No” (Nie), oznacza to, że DoH nie jest aktywne lub wystąpił błąd konfiguracji i system powrócił do standardowego, nieszyfrowanego DNS. Warto również zwrócić uwagę na pola „AS Name” i „AS Number”, które powinny wskazywać na nazwę Twojego dostawcy DoH (np. Cloudflare, Google, Quad9), a nie Twojego dostawcy internetu (ISP).

Weryfikacja dostawcy DNS: Test na „wyciek”

Samo potwierdzenie użycia protokołu DoH to jedno, ale warto też upewnić się, że zapytania trafiają do wybranego przez Ciebie, zaufanego dostawcy. Służą do tego tzw. testy na wyciek DNS (DNS Leak Tests). Pokazują one, jakie serwery DNS faktycznie odpowiadają na Twoje zapytania.

1. Przed testem upewnij się, że znasz nazwę swojego dostawcy internetu (np. Orange, Play, Vectra).
2. Wejdź na stronę https://www.dnsleaktest.com/.
3. Kliknij przycisk „Standard test”.
4. Po chwili na liście pojawią się adresy IP i nazwy hostów serwerów, które obsłużyły Twoje zapytanie.

Interpretacja wyników:

• Sukces: Jeśli na liście widzisz wyłącznie nazwy związane z Twoim dostawcą DoH (np. google.com, dns9.quad9.net, cloudflare-dns.com), Twoja konfiguracja jest szczelna i działa poprawnie.
• Problem: Jeśli na liście pojawi się nazwa Twojego dostawcy internetu (ISP), oznacza to, że dochodzi do „wycieku”. Twoje zapytania, mimo włączonego DoH w jednym miejscu (np. w przeglądarce), są wciąż obsługiwane przez niezabezpieczone serwery ISP (np. przez inną aplikację lub system operacyjny). W takiej sytuacji najlepiej jest skonfigurować DoH na poziomie całego systemu lub routera.

Zaawansowane narzędzia diagnostyczne w przeglądarkach

Nowoczesne przeglądarki internetowe oferują wbudowane narzędzia, które pozwalają zajrzeć „pod maskę” i sprawdzić, jak obsługiwane są zapytania DNS. Są to metody dla bardziej dociekliwych użytkowników.

Przeglądarka	Narzędzie	Jak sprawdzić?
Mozilla Firefox	about:networking#dns	Wpisz ten adres w pasku adresu. W tabeli „DNS Cache Entries” poszukaj kolumny „TRR” (Trusted Recursive Resolver). Wartość true przy danej domenie oznacza, że została ona przetłumaczona przy użyciu DoH.
Google Chrome / Edge	chrome://net-internals/#dns	Wpisz ten adres w pasku adresu. Kliknij „Clear host cache”. Odwiedź kilka nowych stron, a następnie wróć do tej zakładki. W tabeli „Host resolver cache” poszukaj wpisów, które w kolumnie „type” mają dopisek (DOH).

Te narzędzia dają absolutną pewność i pozwalają na szczegółową analizę działania DoH dla poszczególnych domen, co jest nieocenione przy diagnozowaniu bardziej skomplikowanych problemów. Pamiętaj, że regularne sprawdzanie poprawności konfiguracji, zwłaszcza po aktualizacjach systemu czy przeglądarki, to dobra praktyka, która gwarantuje utrzymanie wysokiego poziomu prywatności.

Potencjalne problemy i rozwiązania: Co zrobić, gdy DoH nie działa?

Włączenie DNS over HTTPS to duży krok w stronę bezpieczniejszego i bardziej prywatnego internetu, ale jak każda technologia sieciowa, może czasem napotkać problemy. Jeśli po konfiguracji DoH strony internetowe przestały się ładować lub testy weryfikacyjne (takie jak na stronie 1.1.1.1/help ¹¹) wskazują na niepowodzenie, nie martw się. Zazwyczaj przyczyna jest prosta do zdiagnozowania i naprawienia. W tej sekcji przeprowadzimy Cię krok po kroku przez najczęstsze problemy i ich rozwiązania, aby Twoje szyfrowane zapytania DNS działały bez zarzutu.

Krok 1: Podstawowa diagnostyka i najczęstsze błędy

Zanim zagłębimy się w zaawansowane scenariusze, zacznijmy od najprostszych, a zarazem najczęstszych przyczyn problemów. W pierwszej kolejności sprawdź, czy problemem jest sama konfiguracja DoH. Spróbuj tymczasowo wyłączyć funkcję „Bezpieczne DNS” w ustawieniach przeglądarki ³ lub systemu ⁸ i zobacz, czy dostęp do internetu wraca do normy. Jeśli tak, winowajcą jest konfiguracja DoH. Najczęstszym błędem jest literówka w adresie URL dostawcy usługi. Adresy te muszą być wpisane z absolutną precyzją. Upewnij się, że skopiowany przez Ciebie adres jest identyczny z tym podanym przez dostawcę.

Poniżej znajduje się tabela z poprawnymi adresami dla najpopularniejszych usługodawców, której możesz użyć do weryfikacji:

Dostawca	Adres URL szablonu DoH
Cloudflare	https://cloudflare-dns.com/dns-query
Google	https://dns.google/dns-query
Quad9	https://dns.quad9.net/dns-query
NextDNS	https://dns.nextdns.io/TWOJE-ID

Pamiętaj, że w przypadku NextDNS musisz zastąpić TWOJE-ID unikalnym identyfikatorem z Twojego panelu konfiguracyjnego. Jeśli po poprawieniu adresu problem nadal występuje, spróbuj tymczasowo zmienić dostawcę na innego ², na przykład z Cloudflare na Google. Pozwoli to ustalić, czy problem leży po stronie Twojej konfiguracji, czy może jest to chwilowa awaria wybranej usługi.

Krok 2: Konflikty z oprogramowaniem zabezpieczającym i firewallem

Jedną z głównych przyczyn niedziałającego DoH jest konflikt z oprogramowaniem antywirusowym, zaporą sieciową (firewall) lub aplikacjami do kontroli rodzicielskiej. Programy te często działają poprzez przechwytywanie i analizowanie całego ruchu sieciowego, w tym tradycyjnych zapytań DNS. Kiedy włączasz DoH, zapytania te są szyfrowane i ukrywane wewnątrz standardowego ruchu HTTPS (na porcie 443), co uniemożliwia ich inspekcję ¹. Oprogramowanie zabezpieczające może interpretować to jako próbę obejścia zabezpieczeń i blokować połączenie.

Jak to rozwiązać?

1. Sprawdź ustawienia antywirusa/firewalla: Poszukaj opcji związanych z „inspekcją HTTPS”, „skanowaniem SSL/TLS”, „ochroną sieci” lub „filtrowaniem stron internetowych”.
2. Tymczasowo wyłącz moduł: Spróbuj na chwilę wyłączyć dany moduł ochrony sieciowej i sprawdź, czy DoH zaczyna działać. Jeśli tak, znalazłeś przyczynę.
3. Dodaj wyjątek: Zamiast całkowicie wyłączać ochronę, poszukaj opcji dodania wyjątku (tzw. „białej listy”). Możesz spróbować dodać do wyjątków proces swojej przeglądarki (np. chrome.exe, firefox.exe) lub bezpośrednio adres URL serwera DoH, z którego korzystasz.

Warto również pamiętać, że w niektórych sieciach firmowych administratorzy celowo blokują ruch DoH, aby zachować kontrolę nad ruchem sieciowym i egzekwować firmowe polityki bezpieczeństwa. W takim scenariuszu próba obejścia blokady jest niemożliwa i często niezgodna z regulaminem firmy.

Krok 3: Problemy w sieciach firmowych i zaawansowana konfiguracja

Korzystanie z DoH w środowisku korporacyjnym lub na bardziej zaawansowanym sprzęcie, jak routery Mikrotik, wprowadza dodatkowe zmienne. Sieci firmowe często używają wewnętrznych serwerów DNS do obsługi lokalnych zasobów (np. serwerów plików, drukarek, intranetu). Włączenie DoH na urządzeniu końcowym może uniemożliwić dostęp do tych zasobów, ponieważ zapytania o nie będą wysyłane do zewnętrznego serwera (np. Cloudflare), który nie ma o nich pojęcia. Co więcej, administratorzy systemów Windows Server mogą konfigurować własne serwery DoH i polityki, które wymagają odpowiedniej konfiguracji zapory sieciowej, aby zezwolić na ruch DoH . Jeśli napotykasz problemy w takiej sieci, najlepszym rozwiązaniem jest kontakt z działem IT.

W przypadku konfiguracji DoH na routerze, na przykład Mikrotik, kluczowe jest posiadanie aktualnego certyfikatu głównego urzędu certyfikacji (CA) dla Twojego dostawcy DoH ¹⁰. Jeśli certyfikat na routerze jest przestarzały lub go brakuje, próby nawiązania szyfrowanego połączenia z serwerem DoH zakończą się niepowodzeniem. Upewnij się, że zaimportowałeś poprawny certyfikat (np. DigiCert Global Root CA dla Cloudflare) i że jest on aktualny. Jeśli mimo poprawnej konfiguracji odczuwasz spowolnienie działania internetu, może to oznaczać, że wybrany serwer DoH jest geograficznie oddalony. Spróbuj użyć narzędzi do mierzenia opóźnień (ping) do adresu IP serwera lub po prostu przetestuj innego dostawcę, aby znaleźć ten oferujący najniższe opóźnienia dla Twojej lokalizacji.

Wpływ DNS over HTTPS na wydajność i bezpieczeństwo sieci

Włączenie DNS over HTTPS (DoH) to jedna z najważniejszych zmian, jakie możesz wprowadzić w swojej konfiguracji sieciowej, wpływając fundamentalnie na dwa kluczowe aspekty: wydajność i bezpieczeństwo. Choć intuicyjnie dodatkowe szyfrowanie może kojarzyć się ze spowolnieniem, rzeczywistość jest bardziej złożona i często zaskakująco pozytywna. Zrozumienie tych zależności pozwoli Ci świadomie ocenić, czy DoH jest rozwiązaniem dla Ciebie.

Czy DoH spowalnia internet? Analiza wydajności

Główne obawy dotyczące wydajności DoH wynikają z faktu, że dodaje on warstwę szyfrowania TLS/SSL do zapytań DNS, które tradycyjnie były przesyłane otwartym tekstem. Teoretycznie, proces nawiązania bezpiecznego połączenia (tzw. uścisk dłoni TLS) i szyfrowania danych wprowadza pewne minimalne opóźnienie. Jednak w praktyce wpływ ten jest często niezauważalny, a czasem DoH może nawet przyspieszyć Twoje przeglądanie. Dzieje się tak z kilku powodów:

• Wykorzystanie HTTP/2: Nowoczesne serwery DoH używają protokołu HTTP/2, który pozwala na multipleksację, czyli wysyłanie wielu zapytań w ramach jednego połączenia TCP. Eliminuje to konieczność wielokrotnego nawiązywania połączenia dla każdego zapytania, co znacząco redukuje narzut.
• Szybsze serwery: Często serwery DNS Twojego dostawcy internetu (ISP) nie są najszybszymi dostępnymi opcjami. Przejście na globalne, zoptymalizowane serwery DoH od firm takich jak Cloudflare, Google czy Quad9 może skutkować niższym czasem odpowiedzi na zapytania, co zrekompensuje z nawiązką minimalne opóźnienie wynikające z szyfrowania.
• Agresywne buforowanie (caching): Zarówno przeglądarka, jak i system operacyjny, buforują odpowiedzi DNS. Oznacza to, że opóźnienie związane z zapytaniem występuje głównie przy pierwszym wejściu na daną stronę.

Aby samodzielnie zweryfikować wpływ DoH na wydajność, możesz przeprowadzić prosty test. Użyj narzędzia do pomiaru czasu odpowiedzi DNS, takiego jak dig (w systemach Linux/macOS) lub nslookup (w Windows), albo skorzystaj z dedykowanych aplikacji, np. GRC DNS Benchmark.

1. Krok 1: Pomiar przed włączeniem DoH. Upewnij się, że DoH jest wyłączone w przeglądarce i systemie. Wykonaj serię pomiarów czasu odpowiedzi dla kilku popularnych domen, np. ping -c 5 google.com lub nslookup cyberowi.pl. Zapisz średni czas.
2. Krok 2: Włączenie DoH. Skonfiguruj DoH w przeglądarce lub systemie, wybierając konkretnego dostawcę.
3. Krok 3: Pomiar po włączeniu DoH. Powtórz te same pomiary co w kroku 1. Porównaj wyniki. W większości przypadków różnica będzie mierzona w pojedynczych milisekundach i nieodczuwalna podczas codziennego użytkowania.

Skokowy wzrost bezpieczeństwa i prywatności

Prawdziwą siłą DoH nie jest wydajność, lecz radykalna poprawa bezpieczeństwa i prywatności. Szyfrowanie zapytań DNS i ukrywanie ich w standardowym ruchu HTTPS (na porcie 443) rozwiązuje kilka fundamentalnych problemów tradycyjnego DNS ¹.

Aspekt	Tradycyjny DNS (port 53)	DNS over HTTPS (DoH)
Szyfrowanie zapytań	Brak. Zapytania są wysyłane otwartym tekstem.	Pełne. Zapytania są szyfrowane i wyglądają jak zwykły ruch HTTPS.
Widoczność dla ISP	Pełna. Dostawca internetu widzi każdą domenę, o którą pytasz.	Ograniczona. ISP widzi, że łączysz się z serwerem DoH, ale nie wie, o jakie domeny pytasz.
Podatność na spoofing	Wysoka. Atakujący może przechwycić zapytanie i zwrócić fałszywy adres IP.	Bardzo niska. Szyfrowanie i certyfikaty SSL uniemożliwiają manipulację odpowiedzią.
Możliwość cenzury	Łatwa. ISP może łatwo blokować dostęp do stron poprzez filtrowanie zapytań DNS.	Utrudniona. Blokowanie DoH wymagałoby blokowania całego ruchu do serwerów DoH.

Dzięki tym właściwościom, DoH skutecznie chroni Cię przed:

• Podsłuchem i profilowaniem: Twój dostawca internetu (ISP) nie może już budować Twojego profilu marketingowego na podstawie historii odwiedzanych stron . To samo dotyczy operatorów publicznych sieci Wi-Fi w kawiarniach czy na lotniskach.
• Atakami Man-in-the-Middle (MitM) i DNS Spoofing: Atakujący w tej samej sieci nie może przechwycić Twojego zapytania o adres mojbank.pl i zamiast prawdziwego adresu IP podsunąć Ci adres fałszywej, phishingowej strony. Szyfrowanie w DoH uniemożliwia taką manipulację danymi DNS .
• Cenzurą i blokowaniem: Ponieważ zapytania DoH są nieodróżnialne od zwykłego ruchu na stronie internetowej, dostawcom usług znacznie trudniej jest cenzurować dostęp do określonych treści poprzez blokowanie zapytań DNS .

Podsumowując, włączenie DoH to wymiana potencjalnie niezauważalnego, minimalnego kosztu wydajnościowego na ogromny zysk w dziedzinie prywatności i bezpieczeństwa. Dla zdecydowanej większości użytkowników jest to kompromis niezwykle korzystny, który utwardza jedno z najsłabszych ogniw w łańcuchu bezpieczeństwa podczas przeglądania internetu.

FAQ: Najczęściej zadawane pytania o DNS over HTTPS

Ta sekcja gromadzi odpowiedzi na najczęstsze wątpliwości i pytania dotyczące technologii DNS over HTTPS. Jeśli dopiero zaczynasz swoją przygodę z DoH lub chcesz usystematyzować wiedzę, znajdziesz tu zwięzłe i konkretne wyjaśnienia.

Czy DoH jest szybszy niż tradycyjny, nieszyfrowany DNS?

Odpowiedź nie jest jednoznaczna i zależy od warunków sieciowych. Szyfrowanie w DoH wprowadza pewien narzut obliczeniowy, który teoretycznie może nieznacznie spowolnić proces rozwiązywania nazw. Jednak w praktyce, dzięki wykorzystaniu nowoczesnych protokołów transportowych jak HTTP/2 i optymalizacji połączeń przez serwery DoH, różnica jest często niezauważalna dla użytkownika. W niektórych scenariuszach, na przykład w sieciach o dużym opóźnieniu lub utracie pakietów, DoH może być nawet szybszy od tradycyjnego DNS (korzystającego z protokołu UDP) dzięki lepszemu zarządzaniu połączeniami przez TCP.

Czy DoH ukrywa moją aktywność przed dostawcą internetu (ISP)?

Częściowo. DoH skutecznie szyfruje treść Twoich zapytań DNS, co oznacza, że Twój dostawca internetu nie widzi, o jakie konkretnie domeny pytasz (np. cyberowi.pl) . Uniemożliwia mu to tworzenie szczegółowych profili Twojej aktywności na podstawie historii przeglądanych stron i blokowanie dostępu do nich na poziomie DNS . Jednakże ISP wciąż widzi adresy IP serwerów, z którymi się łączysz po uzyskaniu odpowiedzi DNS. Innymi słowy, DoH chroni „spis treści” Twojej aktywności (zapytania DNS), ale nie „adresy docelowe” (adresy IP), z którymi finalnie nawiązujesz połączenie.

Czy mogę używać DNS over HTTPS razem z siecią VPN?

Tak, i jest to często spotykana konfiguracja zwiększająca prywatność. Sieć VPN (Virtual Private Network) szyfruje cały Twój ruch internetowy, w tym zapytania DNS, kierując go przez swoje serwery. Jeśli włączysz DoH na urządzeniu, które jest połączone z VPN, Twoje zapytania DNS będą podwójnie chronione: najpierw zaszyfrowane przez DoH, a następnie cały pakiet (wraz z innymi danymi) zostanie zaszyfrowany przez tunel VPN. Co ciekawe, niektóre aplikacje mobilne do obsługi DoH, jak np. 1.1.1.1 od Cloudflare, technicznie działają poprzez utworzenie lokalnego profilu VPN w systemie, aby móc przechwytywać i szyfrować wszystkie zapytania DNS z urządzenia [^7].

Jakie są główne wady lub minusy DNS over HTTPS?

Pomimo wielu zalet, DoH ma kilka potencjalnych wad. Główną z nich jest możliwość ominięcia lokalnych polityk sieciowych. Jeśli DoH jest włączony w przeglądarce na komputerze służbowym lub urządzeniu dziecka, może zignorować ustawienia DNS skonfigurowane na routerze, takie jak firmowe listy blokad czy filtry kontroli rodzicielskiej. Inną obawą jest centralizacja zapytań DNS w rękach kilku dużych firm technologicznych (jak Google czy Cloudflare), co rodzi pytania o prywatność na innym poziomie. Wreszcie, DoH utrudnia administratorom sieci monitorowanie i rozwiązywanie problemów z DNS, ponieważ ruch jest ukryty w standardowym strumieniu HTTPS [^1].

Czym różni się DNS over HTTPS (DoH) od DNS over TLS (DoT)?

Oba protokoły mają ten sam cel: szyfrowanie zapytań DNS. Różnią się jednak fundamentalnie sposobem działania, co ma kluczowe implikacje dla prywatności i zarządzania siecią. DoH „maskuje” zapytania DNS jako zwykły ruch webowy (HTTPS), podczas gdy DoT używa do tego celu dedykowanego kanału. Ta różnica jest kluczowa dla administratorów sieci i potencjalnej cenzury.

Cecha	DNS over HTTPS (DoH)	DNS over TLS (DoT)
Port sieciowy	Port 443 (standardowy dla ruchu HTTPS)	Port 853 (dedykowany dla DoT)
Wygląd ruchu	Nieodróżnialny od zwykłego ruchu webowego [^1]	Łatwy do zidentyfikowania jako ruch DNS over TLS
Potencjał blokowania	Trudny do zablokowania bez blokowania całego ruchu HTTPS	Stosunkowo łatwy do zablokowania na poziomie portu 853
Prywatność	Wyższa w sieciach, które mogą blokować niestandardowe porty	Równorzędna pod względem siły szyfrowania samego zapytania

Czy DoH jest dostępny na wszystkich moich urządzeniach?

Wsparcie dla DoH staje się coraz bardziej powszechne, ale nie jest jeszcze uniwersalne

Źródła

Zobacz też

• Bitwarden w 15 minut — konfiguracja krok po kroku (poradnik 2026)
• 20 Darmowych Narzędzi OSINT 2026: Przewodnik po Otwartych Źródłach Danych
• Aliasy email Proton, SimpleLogin i Firefox Relay

Footnotes

1. pillar — https://learn.microsoft.com/pl-pl/windows-server/networking/dns/enable-dns-over-https-server ↩ ↩² ↩³

2. corroborating — https://informatecdigital.com/pl/Jak-w%C5%82%C4%85czy%C4%87-DNS-przez-HTTPS-w-systemie-Windows-11-i-poprawi%C4%87-swoj%C4%85-prywatno%C5%9B%C4%87/ ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶

3. corroborating — https://www.fpid.org.pl/dns-over-https-konfiguracja ↩ ↩²

4. corroborating — https://www.cyfrowestudio.pl/konfiguracja-dns-over-https-doh-czy-to-poprawi-prywatnosc-i-skroci-czas-ladowania-stron/ ↩

5. corroborating — https://tecnobits.com/pl/como-cifrar-tu-dns-sin-tocar-el-router-usando-dns-over-https/ ↩

6. corroborating — https://intergrid.pl/dns-over-https-doh-jak-zwiekszyc-prywatnosc-przegladania-w-2-minuty ↩

7. corroborating — https://learn.microsoft.com/pl-pl/windows-server/networking/dns/dns-encryption-dns-over-https ↩

8. corroborating — https://serwistoshiba.pl/dns-over-https-i-dns-over-tls-czym-sie-roznia-i-jak-je-ustawic.html ↩ ↩²

9. corroborating — https://learn.microsoft.com/pl-pl/windows-server/networking/dns/enable-dns-over-https-server ↩

10. corroborating — https://mundobytes.com/pl/Jak-zaszyfrowa%C4%87-DNS-bez-dotykania-routera—korzystaj%C4%85c-z-protoko%C5%82u-DNS-przez-HTTPS/ ↩ ↩²

11. corroborating — https://learn.microsoft.com/pl-pl/windows-server/networking/dns/monitor-dns-over-https ↩ ↩²