Как настроить бесплатную службу dns cloudflare — самую быструю и самую частную в мире

Что такое DNS

DNS означает «система доменных имён», и это услуга, которая позволяет вам открывать веб-браузер, вводить доменное имя и загружать ваши любимые веб-сайты.

Все компьютеры, подключенные к интернету, имеют IP-адреса, которые позволяют им общаться друг с другом. Однако, мы не компьютеры, и IP-адрес (вида 193.109.246.68) трудно запомнить. DNS обеспечивает способ для перевода дружественных доменных имен (windows-school.ru) в IP-адрес, что могут понять компьютеры.

Хотя большинство из нас попадают на наши любимые веб-сайты, просто набирая URL-адреса, например https://windows-school.ru, ваш браузер должен знать IP-адрес сайта, к которому вы пытаетесь получить доступ. Для этого при вводе нового доменного имени ваш браузер отправляет запрос на DNS-сервер, чтобы преобразовать доменное имя в IP-адрес, а когда совпадение найдено, оно возвращается в браузер и страница загружается.

Как правило, этот процесс довольно быстрый, измеряется в миллисекундах, но если DNS-серверы, предоставляемые вашим интернет-провайдером, ненадежны или по какой-либо причине вам нужно использовать пользовательские настройки, Windows 10 позволяет вам быстро изменять настройки DNS на вашем компьютере.

В этом уроке по Windows 10 мы расскажем, как изменить настройки DNS на вашем компьютере с помощью панели управления и командной строки.

Как узнать, какой ДНС-сервер предоставляется провайдером

Поставщик услуг всегда имеет несколько серверов: первичный и альтернативный DNS. Они дублируют друг друга для распределения чрезмерной нагрузки.

Если читателю понадобилось узнать адрес DNS-сервера, к использованию предлагается несколько способов:

С помощью командной строки компьютера

Для разных версии ОС строка открывается несколькими способами:

Для Window XP. Зайти в «Пуск», выбрать «Выполнить».

• Для Windows 7. Открыть «Пуск» — «Все программы» — папку «Стандартные». Кликнуть на «Командную строку».
• Для Windows 8,10. Открыв «Пуск», прописать cmd или «Командная строка», кликнуть на появившееся в поисковике приложение.
• Альтернативный способ — нажатие комбинации клавиш Win + R:

В появившемся окне ввести cmd. После чего откроется окошко командной строки, где надо написать ipconfig/all. Приложение отобразит полную информацию, какой предпочитаемый сервер предоставлен рабочей станции.

Другие способы

1. Вручную посмотреть адрес ДНС-сервера провайдера (предпочитаемого) можно через настройки сети. Необходимо открыть панель управления, зайти в «Сеть и Интернет», после — «Центр управления сетями и общим доступом», выбрать «Подключение» и в открывшемся окошке нажать «Сведения».
2. Нужная информация размещается на официальном сайте поставщика услуг, карте оплаты, в договоре или справочных буклетах. Также рекомендуется обратиться в службу техподдержки онлайн или напрямую к сотруднику.
3. На сайтах, предоставляющих данные о компьютере потребителя, существуют сервисы получения информации о сервере по имени домена или IP-адресу (например, 2ip.ru).

Регистрация доменных имен

В двух словах хотел бы затронуть вопрос регистрации доменных имен.

Регистрация доменов — это действие, посредством которого клиент сообщает регистратору, каким DNS-серверам следует делегировать поддомен, и также снабжает регистратора контактной и платежной информацией. Регистратор передает информацию в соответствующий реестр. Чаще всего, это процесс внесения в реестр зоны первого уровня (то есть в TLD зоны ru, com или др.), записи о новом доменном подимени.

Регистратор доменных имён — это организация, имеющая полномочия создавать (регистрировать) новые доменные имена и продлевать срок действия уже существующих доменных имён в домене, для которого установлена обязательная регистрация.

Уровни доменов, для которых необходима обязательная регистрация лица, ответственного за домен, следующие:

• корневой домен
• все домены первого уровня (TLD)
• некоторые домены второго уровня (например, com.ru или co.uk)

Регистратором для корневого домена является организация . Чтобы стать регистратором доменов в зонах второго уровня (.com .net .org .biz .info .name .mobi .asia .aero .tel .travel .jobs …), необходимо получить аккредитацию ICANN.

Правила регистрации в международных (gTLD — com., org, и др.) доменах устанавливаются ICANN. Правила регистрации в национальных (ccTLD — ru, us и др.) доменах устанавливаются их регистраторами и/или органами власти соответствующих стран, например единые правила для всех регистраторов в доменах .ru, и .рф задаются Координационным центром национального домена сети Интернет. Для многих доменов (в том числе и для ru) регистратор не единственный. При наличии нескольких регистраторов все они должны использовать единую (централизованную или распределённую) базу данных для исключения конфликтов и обеспечения уникальности доменного имени.

Услуга регистрации домена в большинстве случаев платная, цену и условия регистрации определяет регистратор. Для регистрации домена, необходимо выбрать свободное имя и отправить заявку на регистрацию у одного из регистраторов (например nic.ru), оплатить предоставление услуги. После подтверждения регистрации, необходимо в интерфейсе регистратора определить (делегировать) dns сервера, скорее всего это будут DNS вашего хостера.

В завершение статьи хочу отметить так же о таком маркетинговом нюансе, что иногда домены второго уровня называют именами доменов ПЕРВОГО уровня, тем самым «опуская» значение корневого домена и принимая за корневой домен — домены TLD.

Так же хочу отметить, что доменный адрес и IP-адрес не тождественны — один IP-адрес может иметь множество имён, что позволяет поддерживать на одном компьютере множество веб-сайтов (это называется виртуальный хостинг). Обратное тоже справедливо — одному имени может быть сопоставлено множество IP-адресов: это позволяет создавать балансировку нагрузки.

Резюме

Итак, в сегодняшней статье я постарался как можно понятней описать работы доменной системы имен. Надеюсь, это у меня получилось. Мы рассмотрели иерархическую структуру базы данных DNS, а так же рассмотрели процессы взаимодействия клиентов и серверов DNS, а так же разновидности серверов DNS. В следующей статье я рассмотрю практические вопросы установки и настройки DNS сервера BIND на Linux. Буду рад Вашим комментариям.

Что еще почитать:

man (5) resolver: http://www.opennet.ru/man.shtml?topic=resolver&category=5&russian=0
man (3) gethostbyname:  http://www.opennet.ru/cgi-bin/opennet/man.cgi?topic=gethostbyname&category=3Linux Network Administrators Guide v2 Russian: скачать.RFC882, 1035, 1183
Статья DNS сервер bind — практика

Upd 2013.01.28: обновил информацию по SOA-записи (спасибо комментатору feedbee на )

DNS по HTTPS: DoH!

В результате, хотя на спецификациях RFC для DoH ещё не просохли чернила, уже готов к работе целый ряд клиентов DNS по HTTPS. Правда, некоторые из них заточены под конкретных провайдеров DNS. Потеря производительности во многом зависит от сервера и от качества конкретного клиента.

По умолчанию, если запустить Argo из командной строки (в Linux и MacOS для этого нужны привилегии суперпользователя, а на Windows нужно запускать клиента из PowerShell от имени администратора), то он направляет DNS-запросы на . Если не настроен обычный DNS, то возможна небольшая проблемка, потому что данный адрес должен резолвиться в 1.1.1.1, иначе Argo не запустится.

Это можно исправить одним из трёх способов. Первый вариант: установить устройство с локальным хостом ( для IPv4 и для IPv6) как основной DNS-сервер в сетевой конфигурации, а затем добавить 1.1.1.1 в качестве дополнительного резолвера. Это рабочий вариант, но он не идеален с точки зрения приватности и производительности. Лучше добавить URL сервера из командной строки при загрузке:

Если вы уверены, что хотите перейти на DNS-сервер от Cloudflare, что даёт преимущество автоматического обновления, — то можете настроить его в качестве службы в Linux, используя YAML-файл конфигурации, содержащий адреса IPv4 и IPv6 службы DNS от Cloudflare:

При настройке с правильной восходящей адресацией производительность dig-запросов через Argo широко варьируется: от 12 мс для популярных доменов аж до 131 мс. Страницы с большим количеством межсайтового контента загружаются… немного дольше обычного. Опять же, ваш результат может быть другим — вероятно, он зависит от вашего местоположения и связности. Но это примерно то, чего я ожидал от мрачного протокол DoH.

Во время проверки обработки стандартных запросов службой я наткнулся на альтернативу дефолтному адресу 8.8.8.8 от Google (172.217.8.14, если знаете). Я добавил его в Dingo из командной строки:

Это сократило время отклика примерно на 20%, то есть примерно до того показателя, как у Argo.

А оптимальную производительность DoH неожиданно показал DNSCrypt Proxy 2. После недавнего добавления DoH Cloudflare в курируемый список публичных DNS-сервисов DNSCrypt Proxy почти всегда по умолчанию подключается к Cloudflare из-за низкой задержки этого сервера. Чтобы убедиться, я даже вручную сконфигурировал его под резолвер Cloudflare для DoH, прежде чем запустить батарею dig-запросов.

Все запросы обрабатывались менее чем за 45 миллисекунд — это быстрее, чем собственный клиент Cloudflare, причём с большим отрывом. С сервисом DoH от Google производительность оказалась похуже: запросы обрабатывались в среднем около 80 миллисекунд. Это показатель без оптимизации на ближайший DNS-сервер от Google.

В целом производительность DNSCrypt Proxy по DoH практически неотличима от резолвера DNS по TLS, который я проверял ранее. На самом деле он даже быстрее. Я не уверен, то ли это из-за какой-то особой реализации DoH — может быть, из-за использования стандартного формата сообщений DNS, инкапсулированных в HTTPS, вместо формата JSON — то ли связано с тем, как Cloudflare обрабатывает два разных протокола.

Я не Бэтмен, но моя модель угроз всё равно немного сложнее, чем у большинства людей

Домены первого уровня

Домены первого уровня делятся на три группы:

• домены общего назначения;

• национальные домены;

• обратный домен.

Домены первого уровня

Первую группу составляют домены общего назначения (Generic TLDs, gTLDs). К этим доменам относятся:

Название домена	Комментарий
«Старые» домены, созданные в 1984 году
«com»	COMmercial, коммерческие организации
«gov»	GOVernment, правительственные учреждения США
«int»	INTernational Organizations, международные организации
«mil»	MILitary, военные организации США
«edu»	EDUcational, образовательные проекты и учреждения
«org»	ORGanisations, некоммерческие организации или организации, не попадающие в другие категории
«net»	NETwork, сети общего назначения
«Новые» домены, созданные в 2001 году
«info»	INFOrmation, домен свободного использования для предоставления информации в Интернет
«biz»	Business Organizations, различные организации
«name»	домен предназначен для использования частными лицами
«museum»	музеи

Изначально домены общего назначения предназначались для объединения доменов нижних уровней, принадлежащих организациям и учреждениям США. Поэтому в силу традиции большая часть доменов, зарегистрированных за организациями других государств, входят не в домены общего назначения, а в так называемые национальные домены. Однако ничто не мешает какой-нибудь компании, например, Российской, зарегистрировать домен второго уровня в домене «com». Исключением являются только домены «mil» и «gov», которые используются только учреждениями и организациями США.Другой традицией для доменов общего назначения до последнего времени было жесткое ограничение на длину имени — три символа. Ввод в 2001 году доменов «name», «info» и «museum» нарушил эту традицию. По всей видимости, это не будет соблюдаться и в дальнейшем, поскольку в ближайшее время среди прочих планируется ввести еще два домена общего назначения с «неправильным» именем — «coop» и «aero».Во вторую группу включены национальные домены (Country Code TLDs, ccTLDs). Имя каждого такого домена состоит из двух символов и представляет собой сокращение названия государства (так называемый «код страны»), которому принадлежит домен, например, «ru» означает Россия. Список национальных доменов разработан и утвержден Национальным Институтом Стандартов США (ISO 3166-1).Третья группа состоит из одного домена с четырехсимвольным именем «arpa», предназначенного для поиска доменного имени по IP-адресу (обратного разрешения). Часто этот домен называют обратным доменом (reverse domain)

Клиенты DNS (resolver)

Как же программы на конечных машинах знают куда и в каком виде посылать запросы DNS? Они этого не знают. Для разрешения имен и IP адресов клиентскими приложениями используется библиотека Resolver. Это не какое-то специальное приложение, это функциональность системы (ядра). Т.о. приложения посылают системные вызовы gethostbyname(2) и gethostbyaddr(2), а ядро уже на основании настроек в файле /etc/nsswitch.conf определяет по какому пути ему далее действовать. Данный файл определяет какие сервисы (будь то файл /etc/hosts или DNS) и в каком порядке использовать. В ранних версиях библиотеки Linux — libc, использовался файл /etc/host.conf. Ранее, в статьях о сети в Linux я упоминал о nsswitch. Вот фрагмент файла, который нас интересует:

root@DNS:~# cat /etc/nsswitch.conf
......
hosts:          files dns
networks:       files

Две строки данного фрагмента указывают ядру производить преобразование имен хостов в IP (строка hosts: files dns) сначала из файла hosts, затем силами DNS, а так же преобразование имен сетей в IP (строка networks: files) с помощью файла /etc/network.Возможны так же параметры nis или nisplu, определяющие использовать Network Information System (NIS) чтобы найти адрес. Порядок, в котором перечислены сервисы, определяет последовательность их опроса.

Если согласно /etc/nsswitch.conf запрос отправляется DNS, то используются настройки из файла /etc/resolv.conf, который определяет какие серверы DNS использовать. Вот типичный пример файла /etc/resolv.conf:

root@DNS:~# cat /etc/resolv.conf
nameserver 192.168.1.1
nameserver 192.168.1.2
domain  examle.com

Директива nameserver определяет адрес сервера доменных имен, который будет выполнять рекурсивные запросы resolver. В данном файле указано использовать север имен сначала 192.168.1.1 затем, если первый не смог обработать запрос, 192.168.1.2. Рекомендуется не использовать более 3х параметров nameserver. Если опция nameserver не задана, то резолвер попытается соединиться с сервером на локальном хосте. Параметр domain определяет заданное по умолчанию имя домена, которое будет подставлено, когда DNS не удастся найти имя хоста. Существует так же опция search, которая задает дополнительные домены, в которых необходимо произвести поиск и разрешение имени хоста. Опции search и domain нельзя использовать совместно.

Кроме кэша на ДНС сервере, существуют кэши интернет-браузеров, кэши резолверов. Довольно прозрачную картину предоставляет Wikipedia:

Ошибки, которые могут возникнуть при использовании DNS

Пользователь редко сталкивается с ошибками, которые связаны с DNS-сервером, но они случаются и делятся на два типа: внутренние и внешние. Под внешними разумеются неполадки самого сервиса, к которому обращается браузер. Эту проблему решить просто: необходимо поставить автоматический выбор DNS или сменить сервис на более надёжный, как показано в примерах выше.

Если же способы смены проблему не решили, значит, неполадки связаны со службой «DNS-клиента». Она может быть отключена или повреждена вирусами.

Через исполняющую программу запускаем «Службы»

Среди списка служб находим «DNS-клиент»

Двойной щелчок открывает свойства службы

Если с перезагрузкой проблема не исчезла — значит, файлы службы повреждены и необходимо запустить проверку системы на вирусы и восстановление файлов ОС. Лучше использовать две или три антивирусные программы.

Через командную строку проверяем целостность файлов операционной системы

Как поменять настройки DNS

Скорее всего у вашего провайдера интернета есть собственный сервер DNS, но наверняка это не самый быстрый из возможных вариантов. Вы можете изменить настройки DNS в вашей операционной системе. Есть три ведущих альтернативных провайдера DNS: Google DNS, OpenDNS и Cloudflare DNS.

Как поменять настройки DNS в Windows 10

Для изменения настроек DNS в Windows 10 надо открыть Панель управления > Сеть и интернет > Сетевые подключения и с левой стороны нажать «Поменять настройки адаптера».

Откроется список доступных сетевых устройств. Вы подключены к интернету либо через проводной порт Ethernet, либо через беспроводной Wi-Fi. В зависимости от ваших настроек, нажмите на нужное устройство правой кнопкой мыши и выберите «Свойства». Выделите опцию «IP версии 4 (TCP/IPv4)» и нажмите «Свойства». Перейдите в раздел «Использовать следующие адреса DNS-сервера».

Здесь нужно вводить IP-адрес DNS-провайдера:

• Google DNS: 8.8.8.8, 8.8.4.4
• Cloudflare IPv4: 1.1.1.1, 1.0.0.1
• OpenDNS: 208.67. 222, 208.67. 220.220

После ввода нажмите OK для сохранения настроек. Вы вернётесь в меню «Свойства». Здесь выберите «IP версии 6 (TCP/IPv6)» и снова нажмите «Свойства». Можно повторить процесс для серверов IPv6 DNS.

• Google DNS: 2001:4860:4860::8888, 2001:4860:4860::8844
• Cloudflare IPv6: 2606:4700:4700::1111, 2606:4700:4700::1001
• OpenDNS: 2620:119:35::35, 2620:119:53::53

Нажмите OK для сохранения настроек IPv6 DNS. Можно затем закрыть все окна настроек. Когда вы нажали на подтверждение этих настроек, вы начали пользоваться новыми серверами DNS.

Как поменять настройки DNS на macOS

Для смены DNS на устройстве под управлением macOS откройте Системные настройки > Сеть > Дополнительно. На этой странице откройте вкладку DNS. В отличие от Windows, вы можете легко добавлять и удалять серверы DNS при помощи кнопок + и — внизу слева в окне. Когда вы нажимаете на иконку +, можно вводить IP-адрес выбранного вами провайдера DNS.

Как поменять настройки DNS на iPhone

На iPhone нужно открыть Настройки > Wi-Fi. Нажмите на иконку ‘i’ рядом с используемой сетью. Это откроет страницу настроек беспроводной сети, которую вы хотите поменять. Прокрутите вниз до заголовка DNS.

Нажмите на команду «Настроить DNS». По умолчанию задано значение «Автоматически». Выберите «Вручную» для активации других вариантов. Под заголовком «Сервер DNS» появится поле «Добавить сервер». Нажмите на кнопку и введите IP-адрес выбранного вами провайдера DNS. После завершения нажмите «Сохранить» в верхнем правом углу экрана.

Как поменять настройки DNS на Android

Процесс изменения настроек DNS на Android может быть разным на разных устройствах. Для чистой Android 9.0 и новее нужно открыть Настройки > Сеть и интернет.

Нажмите на стрелку, чтобы раскрыть дополнительные настройки. По умолчанию в поле «Персональный DNS-сервер стоит значение «Автоматический режим». Нажмите «Имя хоста поставщика персонального DNS-сервера». Здесь нужно использовать имя хоста сервера DNS вместо IP-адреса, вроде следующих:

• Google DNS: dns.google.com
• Cloudflare: 1dot1dot1dot1.cloudflare-dns.com

How to configure Cloudflare DNS service on router

The best way to change your current DNS settings to start using Cloudflare’s 1.1.1.1 is to reconfigure your router. Using this approach automatically configures every device in the house (such as desktop, laptop, tablet, phone, game console, and smart TV), instead of setting up each device individually.

To configure your router to use the Cloudflare DNS addresses, do the following:

Important: The instructions to configure may be different on your router before proceeding make sure to check your manufacturer support website for more specific details.

1. Open your web browser.

2. Enter the IP address of your router and press Enter.

   Quick Tip: You can find out this information using the Windows key + R keyboard shortcut, typing cmd, clicking OK, and on Command Prompt run the ipconfig command. The router IP address will be the one that is listed in the Default Gateway field.

3. Log in using your router username and password as required. (Typically, you’ll find this information on a sticker on your router.)

4. Open the DNS server settings page. Refer to your router manufacturer support website to locate these settings. However, most of the time, these settings can be found in the advanced settings section. Here’s the location to get to the DNS settings in some of the most popular home router brands:

   • Linksys: Setup > Basic Setup.
   • ASUS: WAN > Internet Connection.
   • Google Wifi: Settings > Networking & General > Advanced Network > DNS.
   • Netgear: Internet.
   • D-Link: Manual Internet Connection Setup.

5. In the DNS settings section use these IPv4 addresses:

6. Save your settings.
7. Restart your browser.

Once you’ve completed the steps, restart your computer to start using the new settings.

Alternatively, you can open Command Prompt and run these two commands:

Как изменить DNS сервер в Windows 10

Знаете ли Вы, что качество доступа в сеть Интернет зависит только от канал связи. Очень много зависит ещё и от DNS сервера, плохая работа которого может испортить жизнь любому пользователю широкополосного доступа. Иногда достаточно всего лишь сменить DNS сервер в настройках сети и нормальная работа Интернета восстановится.

В некоторых случаях, менять параметры сети приходится при смене провайдера, а иногда это приходится делать после того, как на компьютере хозяйничала вредоносная программа.

В операционной системе Windows 10 есть два основных способа, позволяющих изменить DNS сервер в настройках сетевого подключения.

Как настроить 1.1.1.1 CloudFlare DNS на телефоне

Процесс переключения IP-адреса DNS по умолчанию в 1.1.1.1 CloudFlare очень прост.

1. Загрузите приложение из Google Play или iTunes
2. Откройте приложение 1.1.1.1.
3. Нажмите кнопку OK, чтобы разрешить настройку подключения VPN
4. Переключите ползунок в положение «On»

Вместо того, чтобы изменять сетевые настройки на вашем устройстве, мобильное приложение использует функции VPN для инкапсуляции и маршрутизации трафика в DNS 1.1.1.1, что сделает невозможным отслеживание вашей онлайн-активности со стороны провайдера.

Нажав на кнопку в нижней части экрана «Три полоски», а затем выбрав пункт «Advanced», вы можете просмотреть информацию о подключении и настроить шифрование.

Пункт «Logs» отображает информацию об отладке, которая может оказаться полезной для устранения неполадок и устранения проблем с подключением (данная информация автоматически удаляется каждые 24 часа).

Как найти самый быстрый DNS-сервер для себя?

Сегодня есть специальный инструмент, который называется (подходит для компьютера). Основная суть данного средства заключается в том, что он анализирует множество DNS-сервером и сравнивает результаты их производительности. Естественно, можно сравнивать не только предустановленные варианты, но и добавлять собственные. После завершения теста, утилита показывает лучший DNS-сервер по скорости в конкретной программной среде.

В данном случае самым быстрым DNS-сервером оказался второстепенный IP-адрес CloudFlare 1.0.0.1. На втором месте основной IP от Google DNS. По результатам программы можно определить, что в данном случае самым лучшим DNS является:

Никто не запрещает совмещать несколько DNS-серверов от разных производителей. Поле деятельности для экспериментов здесь действительно широкое.

HTTP Strict Transport Security (HSTS)

Cloudflare — SSL/TLS — Edge Certificates — HSTS

Из раздела Help Cloudflare:

HTTP Strict Transport Security (HSTS, RFC 6797) — это заголовок, который позволяет сайту определять и применять политику безопасности в клиентских браузерах. Это принудительное применение политики защиты защищает сайты от атак с использованием более ранних версий протокола, взлома SSL и захвата файлов cookie.

Он позволяет серверу объявлять политику, согласно которой браузеры будут подключаться только с использованием безопасных HTTPS-соединений, и гарантирует, что конечные пользователи не пропустят критические предупреждения безопасности.

HSTS является важным механизмом безопасности для сайтов с высоким уровнем безопасности. Заголовки HSTS учитываются только при обслуживании через HTTPS-соединения, а не HTTP.

Обычно HSTS проявляет себя так:

• Небезопасные ссылки HTTP становятся безопасными ссылками HTTPS
• Предупреждения SSL сертификата или другие ошибки показывают сообщения об ошибке, которые пользователи не могут обойти

Примите во внимание

Одним из важнейших соображений при использовании HSTS в Cloudflare является то, что после включения HSTS ваш сайт должен по-прежнему иметь действительную конфигурацию HTTPS, соответствующую заголовку HSTS, чтобы избежать недоступности сайта для пользователей.

Если SSL отключен с помощью других средств («серое облако» сайта с Flexible SSL, или перенос сайта из Cloudflare), то сайт будет недоступен для пользователей в течение срока действия кэшированных заголовков Max-Age или до тех пор, пока не будет восстановлен HTTPS c заголовком HSTS со значением 0. Поэтому перед применением HSTS внимательно прочитайте предупреждающие сообщения.

Заголовок Max-Age

HSTS включает параметр «max-age», который указывает продолжительность, в течение которой HSTS будет продолжать кэшироваться и применяться браузером. Этот параметр обычно устанавливается по умолчанию на 6 месяцев, однако вы должны использовать как минимум 12 месяцев, если хотите включить его в список предварительной загрузки HSTS (см. ниже).

Специальное значение «0» означает, что HSTS отключен и больше не будет кэшироваться клиентским браузером. В течение периода времени, указанного в заголовке max-age, после успешного доступа к сайту через HTTPS, браузер будет применять эту политику HSTS, требуя HTTPS с правильно настроенными сертификатами.

Включение субдоменов с HSTS

Cloudflare поддерживает параметр includeSubDomains в заголовках HSTS. Этот параметр применяет политику HSTS от родительского домена (например, example.com) к поддоменам (например, www.development.example.com или api.example.com)

Соблюдайте осторожность с этим заголовком, потому что если какие-то субдомены не работают с HTTPS, они станут недоступными

Предварительная загрузка HSTS

Cloudflare поддерживает предварительную загрузку HSTS. Этот флаг сигнализирует браузерам, что конфигурация HSTS сайта может быть предварительно загружена, то есть включена в базовую конфигурацию браузера.

Без предварительной загрузки HSTS устанавливается только после первоначального успешного запроса HTTPS, поэтому, если злоумышленник может перехватить первый запрос и пройти по HTTP, то HSTS можно обойти. С предварительной загрузкой эта атака предотвращается.

Как только HSTS настроен, вы должны посетить URL-адрес предварительной загрузки для каждого браузера вручную. Для Chrome, Firefox и Safari используйте список предварительной загрузки Chrome. Поддержка Microsoft IE HSTS обновляется.

Используйте, если вы знаете, что у вас всегда будет действительный SSL сертификат, и сайт проксирован через Cloudflare.

DNS 1.1.1.1 CloudFlare

В основе работы сервиса лежит open source DNS-сервер Knot Resolver. Компания CloudFlare воспользовалась им, так как он имеет почти все нужные ей функции, а также использует модульную архитектуру. DNS-сервер Cloudflare использует протоколы DNS-over-TLS и DNS-over-HTTPS.

На момент написания статьи общемировая задержка 1.1.1.1 составляет 14 мс. Это меньше показателей популярных OpenDNS (20 мс) и Google DNS (34 мс), что делает его самым быстрым DNS-сервером.

Хотя создание бесплатной службы на компьютерах было простым процессом, было сложно и практически невозможно настроить 1.1.1.1 на Android и iOS. Однако Cloudflare предоставила приложение для обеих платформ, чтобы упростить настройку вашего телефона или планшета для использования DNS-адреса 1.1.1.1.

DNS сервера 1.1.1.1 и 1.0.0.1 от Cloudflare c WARP режимом: улучшаем скорость и ping

Все доброго времени суток! Хотите увеличить скорость интернета, уменьшить отклик, улучшить загрузку сайтов, а также скрыть свои данные при запросе, от вашего провайдера? Совсем недавно, а точнее 1 апреля прошлого года, компания Cloudflare запустила новый DNS адреса с поддержкой системы CDN:

• 1.1.1.1
• 1.0.0.1
• 2606:4700:4700::1111
• 2606:4700:4700::1001

Компания утверждает, что у них самый быстрый DNS сервера в мире. Даже быстрее стандартных DNS адресов от Google (8.8.8.8 и 8.8.8.4), Яндекс, OpenDNS и Verisign. Как видно из картинки, которая располагается на официальном сайте, отклик куда меньше чем у конкурентов. Особенно это заметно на медленном интернете.

Второй, наверное, самый важный плюс — это использование двух технологий – DNS-over-TLS и DNS-over-HTTPS. Они улучшают безопасность ваших запросов в сети. То есть в частности провайдер теперь не сможет отслеживать на какие сайты вы заходите и собирать о вас статистику (её в частности некоторые продают). Продажа статистики – это достаточно популярное дело и её обычно собирают крупные компании, которые занимаются продажами. Таким образом куда проще «впарить» какую-то вещь, товар или услугу. С другой стороны, это мешает конфиденциальности в интернете, которая на мой взгляд самая важная вещь в глобально сети.