Как включить и правильно настроить DNS-over-HTTPS/3, чтобы вас не отслеживали провайдеры и сайты

Каждый раз, когда вы набираете адрес сайта в браузере, ваш компьютер спрашивает у DNS-сервера: «А где находится этот сайт?» Проблема в том, что этот вопрос отправляется незашифрованным — как открытка, которую может прочитать каждый на пути от вас до почтового ящика. Ваш интернет-провайдер видит все сайты, которые вы посещаете. Не содержимое страниц (если используется HTTPS), но список доменов — полностью.

В 2025 году эта проблема решается технологиями DNS-over-HTTPS (DoH) и DNS-over-HTTP/3 (DoH3). Они шифруют ваши DNS-запросы так же надёжно, как HTTPS защищает банковские переводы. Интернет-провайдер видит только зашифрованный трафик, но не понимает, какие сайты вы открываете.

Что вы получите после настройки:

• Провайдер не увидит ваши DNS-запросы
• Защиту от перехвата и подмены DNS-ответов
• Блокировку отслеживания на уровне DNS
• Дополнительный уровень конфиденциальности даже при использовании VPN

Что такое DNS-over-HTTPS и почему это важно в 2025 году

Представьте, что DNS — это телефонная книга интернета. Каждый раз, когда вы хотите открыть сайт, ваше устройство обращается к этой «книге», чтобы узнать цифровой адрес (IP) нужного ресурса. Традиционно эти обращения происходят открытым текстом по 53-му порту, что позволяет любому на пути вашего интернет-соединения видеть, какие сайты вы посещаете.

DNS-over-HTTPS упаковывает эти запросы в зашифрованный HTTPS-трафик — тот самый, что используют банковские приложения. С точки зрения наблюдателя, ваш DNS-запрос неотличим от обычного посещения веб-страницы.

Важное обновление 2025 года: появился протокол DNS-over-HTTP/3 (DoH3), который работает на основе QUIC — нового транспортного протокола. DoH3 быстрее традиционного DoH благодаря мгновенному установлению соединения и отсутствию блокировки очереди пакетов. На мобильных устройствах, которые переключаются между Wi-Fi и сотовой связью, DoH3 сохраняет соединение без переподключения.

Почему обычный DNS небезопасен

Когда вы используете стандартный DNS вашего провайдера:

• Интернет-провайдер регистрирует каждый посещаемый вами домен
• Злоумышленники в публичной сети (кафе, аэропорт) могут перехватить запросы
• Возможна подмена DNS-ответов для перенаправления на фишинговые сайты
• Рекламные компании используют DNS для построения профиля вашего поведения

По данным Cloudflare, использование зашифрованного DNS выросло на 380% с начала 2025 года. Это не просто тренд — это необходимая мера защиты в условиях, когда даже законопослушные провайдеры обязаны хранить логи о действиях пользователей.

Шаг 1: Выберите надёжный DNS-провайдер с поддержкой DoH/DoH3

Первый и самый важный шаг — определиться, кому вы доверите свои DNS-запросы. Да, вы прячете их от провайдера, но передаёте другой компании. Выбирайте того, кто публично заявляет о политике нулевого логирования.

Cloudflare DNS (1.1.1.1)

Самый быстрый вариант по итогам тестирований 2025 года — средняя задержка всего 4.98 мс по всему миру. Cloudflare удаляет все логи запросов в течение 24 часов и ежегодно проходит аудит KPMG. Компания не продаёт данные пользователей и не использует их для рекламы — их бизнес-модель построена иначе.

• Адреса: 1.1.1.1 и 1.0.0.1
• DoH URL: https://cloudflare-dns.com/dns-query
• Поддержка DoH3: да
• Дополнительные варианты: 1.1.1.2 (блокировка вредоносных сайтов), 1.1.1.3 (семейный фильтр)

Quad9 (9.9.9.9)

Некоммерческая организация со штаб-квартирой в Швейцарии. Quad9 автоматически блокирует доступ к вредоносным и фишинговым доменам, используя данные от 20+ источников угроз. Никогда не логирует IP-адреса пользователей. Немного медленнее Cloudflare (средняя задержка 18.25 мс), но превосходит по безопасности.

• Адреса: 9.9.9.9 и 149.112.112.112
• DoH URL: https://dns10.quad9.net/dns-query
• Поддержка DoH3: да
• Особенность: активная защита от угроз

Google Public DNS (8.8.8.8)

Надёжный, быстрый, но не самый приватный вариант. Google сохраняет полную информацию об IP-адресах на 24-48 часов для диагностики, а постоянные логи без персональной идентификации хранятся две недели. Если вы уже пользуетесь экосистемой Google, разница будет минимальной.

• Адреса: 8.8.8.8 и 8.8.4.4
• DoH URL: https://dns.google/dns-query
• Поддержка DoH3: да
• Надёжность: 100% аптайм

NextDNS

Отличный вариант для тех, кому нужен тонкий контроль. NextDNS позволяет создавать собственные списки блокировки, видеть аналитику запросов, настраивать разные профили для разных устройств. Бесплатно — до 300,000 запросов в месяц (хватает большинству пользователей).

• DoH URL: предоставляется после регистрации в формате https://dns.nextdns.io/xxxxxx
• Поддержка DoH3: да
• Особенность: максимальная кастомизация

Критерий выбора для вас: Если нужна скорость — Cloudflare. Если важна безопасность — Quad9. Если хотите контроль — NextDNS. Если уже используете Google — Google DNS.

Шаг 2: Включите DoH в браузере — самый быстрый способ

Браузеры — первая линия защиты. Большинство современных браузеров поддерживают DoH встроенно и могут автоматически обновляться до DoH3, если сервер это поддерживает.

Firefox (рекомендуется для максимальной приватности)

Firefox был первым браузером, включившим DoH по умолчанию. В 2025 году Firefox использует DoH для всех пользователей в США, Канаде и части Европы.

1. Откройте Firefox и введите в адресной строке: about:preferences
2. Прокрутите вниз до раздела «Приватность и защита»
3. Найдите блок «DNS через HTTPS»
4. Выберите «Максимальная защита» (это заставит Firefox использовать только DoH)
5. В выпадающем списке выберите провайдера (Cloudflare по умолчанию) или «Персональный»
6. Если выбрали «Персональный», вставьте URL DoH-сервера, например: https://dns10.quad9.net/dns-query

Проверка: откройте 1.1.1.1/help — в строке «Using DNS over HTTPS (DoH)» должно быть «Yes».

Google Chrome и Microsoft Edge

Chrome и Edge используют одинаковый движок Chromium, поэтому настройка идентична. В 2025 году оба браузера автоматически активируют DoH, если распознают поддерживаемый DNS-сервер в системных настройках.

Для Chrome:

1. Откройте меню (три точки) → Настройки
2. Перейдите в «Конфиденциальность и безопасность» → «Безопасность»
3. Прокрутите до раздела «Использовать безопасный DNS»
4. Включите переключатель
5. Выберите «С провайдером» и в выпадающем списке укажите нужный сервис (Cloudflare, Google, или Custom)
6. Для пользовательского провайдера выберите «Custom» и вставьте DoH URL

Для Edge:

1. Меню (три точки) → Параметры
2. «Конфиденциальность, поиск и службы»
3. Прокрутите до блока «Безопасность»
4. Включите «Использовать безопасный DNS»
5. Выберите провайдера или добавьте собственный

Важная деталь 2025 года: Chrome автоматически обновляется до DoH, если видит IP-адреса известных DoH-провайдеров в системных настройках. Это значит, что если вы настроите DoH на уровне операционной системы (следующий шаг), Chrome подхватит это автоматически.

Brave и Opera

Brave: Настройки → Конфиденциальность и безопасность → Безопасность → «Использовать безопасный DNS». Процесс идентичен Chrome.

Opera: Настройки → Дополнительно → Функции → «Использовать DNS-over-HTTPS». Opera использует собственный DoH-сервер по умолчанию, но можно указать пользовательский.

Safari (macOS и iOS)

Safari не имеет встроенной настройки DoH в интерфейсе, но поддерживает зашифрованный DNS на системном уровне. Настройка производится через профили конфигурации или сторонние приложения (подробнее в следующем шаге).

Шаг 3: Настройте DoH на уровне операционной системы

Настройка на уровне ОС защищает все приложения, а не только браузер. Это важно, потому что многие программы (мессенджеры, почтовые клиенты, торрент-клиенты) также делают DNS-запросы.

Windows 10/11

Начиная с Windows 10 build 19628 и всех версий Windows 11, Microsoft встроила нативную поддержку DoH.

1. Откройте «Параметры» (Win + I)
2. Перейдите в «Сеть и Интернет»
3. Выберите активное соединение (Wi-Fi или Ethernet)
4. Нажмите «Свойства»
5. Прокрутите до раздела «Параметры IP» и нажмите «Изменить»
6. Выберите «Вручную»
7. Включите IPv4 (или IPv6, если используете)
8. В поле «Предпочитаемый DNS» введите 1.1.1.1 (или другой выбранный сервер)
9. В поле «Альтернативный DNS» введите 1.0.0.1
10. Важно: В выпадающем списке «Шифрование DNS» выберите «Только шифрованный (DNS через HTTPS)**

Если «Шифрование DNS» неактивно или не появляется — ваш DNS-сервер не в списке известных DoH-провайдеров Windows. В таком случае используйте адреса из списка выше (Cloudflare, Quad9, Google).

Альтернативный метод через PowerShell (для опытных):

Set-DnsClientServerAddress -InterfaceAlias «Wi-Fi» -ServerAddresses («1.1.1.1″,»1.0.0.1»)

Set-DnsClientDohServerAddress -ServerAddress 1.1.1.1 -DohTemplate https://cloudflare-dns.com/dns-query -AutoUpgrade $True

Для Windows Server 2025: поддержка DoH есть и на серверных версиях. Настройка аналогична, но доступна также через Group Policy.

macOS

macOS поддерживает зашифрованный DNS с версии Big Sur (11.0). Настройка требует установки конфигурационного профиля.

Через приложение (простой способ):

1. Скачайте приложение DNSCrypt Proxy или используйте готовые профили от провайдеров
2. Для Cloudflare: скачайте официальное приложение 1.1.1.1 с сайта
3. Установите и запустите приложение — оно автоматически настроит DoH

Через профиль конфигурации (продвинутый способ):

1. Скачайте готовый профиль DoH с (используйте официальные источники)
2. Откройте файл .mobileconfig
3. Система предложит установить профиль — подтвердите
4. Перейдите в «Системные настройки» → «Профили» и убедитесь, что профиль активен

Linux

В Linux настройка зависит от используемого DNS-резолвера.

Systemd-resolved (Ubuntu 20.04+, Fedora, Arch):

1. Отредактируйте файл: sudo nano /etc/systemd/resolved.conf
2. Раскомментируйте и измените строки:

[Resolve] DNS=1.1.1.1#cloudflare-dns.com DNSOverTLS=yes

3. Сохраните файл и перезапустите службу: sudo systemctl restart systemd-resolved

Примечание: systemd-resolved в 2025 году всё ещё не поддерживает DoH напрямую, только DoT (DNS-over-TLS). Для DoH используйте dnscrypt-proxy.

DNSCrypt-proxy (универсальный способ для любого дистрибутива):

1. Установите (для Debian/Ubuntu): sudo apt install dnscrypt-proxy
2. Отредактируйте конфиг: sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml
3. Найдите секцию server_names и укажите:

server_names = [‘cloudflare’, ‘quad9-doh’]

4. Убедитесь, что включено:

doh_servers = true

5. Запустите службу: sudo systemctl enable —now dnscrypt-proxy
6. Настройте систему использовать локальный DNS: sudo nano /etc/resolv.conf

nameserver 127.0.0.1

Android

Android с версии 9 (Pie) поддерживает зашифрованный DNS, а с обновлением июля 2025 года Android 11+ получил поддержку DoH3.

1. Откройте «Настройки»
2. Перейдите в «Сеть и Интернет» → «Дополнительно» → «Приватный DNS»
3. Выберите «Имя хоста провайдера приватного DNS»
4. Введите один из вариантов:
   • Для Cloudflare: cloudflare-dns.com
   • Для Quad9: dns.quad9.net
   • Для Google: dns.google
5. Нажмите «Сохранить»

Android автоматически выберет между DoT и DoH3 в зависимости от возможностей сервера.

iOS и iPadOS

С iOS 14 Apple добавила поддержку зашифрованного DNS (как DoH, так и DoT).

Через приложение:

1. Установите приложение 1.1.1.1 (Cloudflare) или DNSCloak из App Store
2. Запустите приложение и следуйте инструкциям по настройке
3. Приложение автоматически создаст VPN-профиль для маршрутизации DNS

Через профиль конфигурации:

1. Загрузите профиль DoH с официального сайта провайдера (NextDNS предоставляет персональные профили)
2. Откройте файл на устройстве
3. Перейдите в «Настройки» → «Профиль загружен» → «Установить»
4. Введите код-пароль устройства
5. Профиль будет активен немедленно

Шаг 4: Настройте DoH/DoH3 на роутере — защита для всей сети

Настройка шифрования DNS на роутере — самый эффективный способ защитить все устройства в доме одновременно: компьютеры, смартфоны, Smart TV, игровые консоли, умные колонки.

Роутеры с поддержкой DoH/DoT из коробки

В 2025 году многие производители добавили встроенную поддержку:

• ASUS (прошивка 388+)
• TP-Link Archer серии AX (модели 2024-2025 года)
• Mikrotik (RouterOS 6.47+)
• Ubiquiti UniFi (UniFi OS 3.0+)
• Keenetic (KN-Series с KeeneticOS 3.1+)

Процесс настройки (на примере ASUS с AsusWRT):

1. Войдите в веб-интерфейс роутера (обычно 192.168.1.1)
2. Перейдите в «WAN» → «Интернет-подключение»
3. Найдите секцию «WAN DNS Setting»
4. Включите «DNS Privacy Protocol»
5. Выберите «DNS over HTTPS» (или DoT, если DoH недоступен)
6. В поле DNS-сервера введите 1.1.1.1 и 1.0.0.1
7. Сохраните настройки и перезагрузите роутер

Альтернативные прошивки

Если ваш роутер не поддерживает DoH нативно, можно установить альтернативную прошивку.

OpenWrt:

1. Установите OpenWrt на роутер (проверьте совместимость на openwrt.org)
2. Подключитесь к роутеру по SSH
3. Установите пакет: opkg update && opkg install https-dns-proxy
4. Настройте bootstrap DNS: uci set https-dns-proxy.dns.bootstrap_dns=’1.1.1.1′
5. Настройте адрес прослушивания: uci set https-dns-proxy.dns.listen_addr=’127.0.0.1′
6. Примените изменения: uci commit && service https-dns-proxy restart

DD-WRT и Tomato: поддержка DoH доступна через установку дополнительных скриптов. Инструкции зависят от конкретной версии прошивки.

Mikrotik RouterOS

Mikrotik обновил свою прошивку с полной поддержкой DoH в 2025 году.

1. Зайдите в веб-интерфейс или Winbox
2. Откройте «IP» → «DNS»
3. В поле «Servers» добавьте DNS-серверы: 1.1.1.1 и 1.0.0.1
4. Включите «Use DoH Server»
5. В поле «DoH Server» укажите URL: https://cloudflare-dns.com/dns-query
6. Включите «Allow Remote Requests» (если хотите, чтобы роутер резолвил для клиентов)
7. Примените настройки

Шаг 5: Проверьте, что DoH работает правильно

После настройки важно убедиться, что DNS-запросы действительно шифруются.

Проверка через онлайн-сервисы

Cloudflare Diagnostic (1.1.1.1/help):

1. Откройте https://1.1.1.1/help
2. Проверьте строки:
   • «Connected to 1.1.1.1» — должно быть Yes
   • «Using DNS over HTTPS (DoH)» — должно быть Yes
   • «Using DNS over TLS (DoT)» — должно быть No (если настроен DoH)
   • «Using DNS over QUIC (DoQ)» — покажет, если используется DoH3

DNSSEC validation:

• Откройте https://dnssec.vs.uni-due.de/
• Должна появиться зелёная галочка с текстом «DNSSEC validation successful»

DNSLeakTest:

1. Откройте https://www.dnsleaktest.com/
2. Нажмите «Extended test»
3. Результат должен показывать серверы вашего DoH-провайдера (Cloudflare, Quad9, Google), а не провайдера интернета

Проверка через командную строку

Windows PowerShell:

Resolve-DnsName -Name example.com -Server 1.1.1.1 | Select-Object Name, IPAddress

Get-NetIPConfiguration | Select-Object InterfaceAlias, DNSServer

macOS/Linux Terminal:

dig @1.1.1.1 example.com

nslookup example.com 1.1.1.1

Если команды возвращают корректные IP-адреса, DNS работает. Но это не подтверждает шифрование — для этого используйте веб-проверки выше.

Проверка через анализ трафика (для продвинутых)

Используя Wireshark:

1. Установите Wireshark
2. Запустите захват на активном сетевом интерфейсе
3. Примените фильтр для DNS: dns
4. Откройте несколько сайтов в браузере
5. Если DNS-запросов в открытом виде нет — DoH работает
6. Примените фильтр для HTTPS-трафика: tcp.port == 443 — вы увидите зашифрованный трафик HTTPS (в котором спрятан DNS)

Ошибки и подводные камни

Проблема 1: DoH работает, но сайты не открываются

Причина: Возможен конфликт между настройками DoH в браузере и системой, или выбранный DNS-сервер заблокирован в вашей сети.

Решение:

• Попробуйте другого провайдера (если используете Cloudflare, переключитесь на Quad9)
• Отключите DoH на уровне браузера и оставьте только системную настройку
• Проверьте, не блокирует ли ваш фаервол порт 443 для DNS-трафика

Проблема 2: Сайт по-прежнему заблокирован провайдером

Причина: DoH шифрует DNS-запросы, но не скрывает SNI (Server Name Indication) — имя сервера в начале TLS-соединения. Провайдер может блокировать по SNI.

Решение:

• Используйте VPN вместе с DoH
• В Firefox включите ECH (Encrypted Client Hello) — экспериментальная функция 2025 года, шифрующая SNI
• В адресной строке Firefox введите: about:config
• Найдите параметр: network.dns.echconfig.enabled и установите в true

Проблема 3: DoH ломает корпоративные фильтры или родительский контроль

Причина: DoH обходит локальные DNS-фильтры, которые настроены в сети компании или дома.

Решение:

• Отключите DoH на рабочих устройствах, если требует политика безопасности
• Используйте NextDNS с собственными правилами фильтрации вместо системных фильтров
• Администраторы могут заблокировать DoH на уровне сети через политики (Group Policy в Windows, MDM на мобильных)

Проблема 4: Медленнее работает интернет после включения DoH

Причина: Первое подключение к DoH-серверу требует TLS-handshake, который добавляет 10-30 мс задержки. Также возможно, что выбранный сервер географически далеко от вас.

Решение:

• Выберите ближайший к вам DNS-провайдер (для России часто лучше работает DNS.SB или AdGuard DNS)
• Используйте DoH3 (если поддерживается) — он быстрее традиционного DoH благодаря QUIC
• Проверьте latency через инструменты типа DNSPerf

Проблема 5: Не работает DoH на роутере с устаревшей прошивкой

Причина: Старые версии прошивок не поддерживают DoH.

Решение:

• Обновите прошивку роутера до последней версии (проверьте на сайте производителя)
• Установите альтернативную прошивку (OpenWrt, DD-WRT, FreshTomato)
• Настройте DoH на каждом устройстве отдельно вместо роутера

Проблема 6: VPN конфликтует с DoH

Причина: Некоторые VPN перенаправляют DNS через собственные серверы и игнорируют DoH-настройки.

Решение:

• Проверьте настройки VPN и отключите «DNS leak protection» (если не критично)
• Используйте VPN с встроенной поддержкой DoH (например, Mullvad, ProtonVPN)
• Или доверьтесь DNS-серверам VPN-провайдера — они тоже зашифрованы внутри туннеля

Проблема 7: DoH включён, но DNS-запросы всё равно утекают

Причина: Некоторые приложения игнорируют системные настройки DNS и делают запросы напрямую к DNS-серверу провайдера.

Решение:

• Настройте фаервол блокировать весь DNS-трафик (порт 53 UDP/TCP), кроме локального
• В Windows используйте PowerShell: New-NetFirewallRule -DisplayName «Block DNS» -Direction Outbound -Protocol UDP -RemotePort 53 -Action Block
• Это заставит приложения использовать системный DoH

Чеклист: убедитесь, что всё настроено правильно

• [ ] Выбран надёжный DoH-провайдер с прозрачной политикой логирования
• [ ] DoH включён в браузере (Firefox/Chrome/Edge)
• [ ] DoH настроен на уровне операционной системы (Windows/macOS/Linux/Android/iOS)
• [ ] DoH настроен на роутере (если устройство поддерживает)
• [ ] Проверка на 1.1.1.1/help показывает «DoH: Yes»
• [ ] DNSLeakTest не показывает DNS-серверы провайдера интернета
• [ ] Сайты открываются без задержек
• [ ] Мобильные устройства также используют зашифрованный DNS
• [ ] VPN и DoH не конфликтуют (если используете оба)
• [ ] Фаервол блокирует незашифрованные DNS-запросы (порт 53)

Частые вопросы (FAQ)

Замедлит ли DoH мою скорость интернета?

Нет, задержка от DoH составляет 10-30 миллисекунд только при первом запросе. Дальше браузер кеширует результаты. DoH3 на основе QUIC даже быстрее обычного DNS за счёт мгновенного установления соединения. В реальном использовании вы не заметите разницы.

Можно ли использовать DoH и VPN одновременно?

Да. DoH шифрует DNS-запросы, а VPN шифрует весь трафик. Вместе они дают максимальную защиту. Но убедитесь, что настройки VPN не переопределяют DoH. Проверьте через DNSLeakTest — если показывает DoH-провайдера, а не VPN, значит, DoH работает поверх VPN.

DoH защищает меня от провайдера?

Да, но не полностью. Провайдер не видит ваши DNS-запросы, но видит IP-адреса сайтов, к которым вы подключаетесь. Зная IP, он может предположить сайт (хотя один IP может обслуживать тысячи доменов через CDN). Для полной конфиденциальности используйте VPN + DoH.

Будет ли DoH работать в странах с жёсткой цензурой?

DoH эффективен против базовой DNS-цензуры, но страны с развитой системой фильтрации (Китай, Иран) блокируют известные DoH-серверы по IP или анализируют TLS-рукопожатия. В таких случаях нужен VPN с обфускацией или Tor.

Можно ли доверять DoH-провайдеру больше, чем провайдеру интернета?

Зависит от провайдера. Cloudflare, Quad9, NextDNS публично обязались не логировать данные и регулярно проходят аудиты. Интернет-провайдеры в большинстве стран обязаны хранить логи по закону. Выбирайте DoH-провайдера в юрисдикции с сильными законами о защите данных (Швейцария для Quad9, например).

DoH сломает родительский контроль или корпоративные фильтры?

Да. DoH обходит DNS-фильтрацию, установленную на уровне роутера или сети. Если вам нужен контроль, используйте NextDNS с собственными правилами блокировки или отключите DoH на устройствах детей. Администраторы компаний могут запретить DoH через групповые политики.

Чем отличается DoH от DoT (DNS-over-TLS)?

Оба шифруют DNS. DoT использует выделенный порт 853 и легко обнаруживается фаерволами. DoH работает через порт 443 (как обычный HTTPS) и неотличим от веб-трафика — его сложнее заблокировать. DoH3 ещё быстрее за счёт протокола QUIC.

Как узнать, поддерживает ли мой провайдер блокировку DoH?

Включите DoH и проверьте через 1.1.1.1/help. Если «DoH: No» или сайты не открываются, возможно, провайдер блокирует. Попробуйте разных DoH-провайдеров. Если ни один не работает — вероятна блокировка на уровне DPI (Deep Packet Inspection). В этом случае поможет только VPN.

Итог

DNS-over-HTTPS и DNS-over-HTTP/3 — это не параноя, а базовая гигиена цифровой конфиденциальности в 2025 году. Настройка занимает 5-10 минут, но даёт постоянную защиту от слежки на уровне DNS. Ваш интернет-провайдер больше не будет видеть, какие сайты вы посещаете. Рекламные компании не смогут отслеживать вас через DNS. Злоумышленники в публичных сетях не перехватят запросы.

Начните с настройки DoH в браузере — это самый простой способ. Потом переходите на уровень операционной системы для защиты всех приложений. Если хотите защитить всю домашнюю сеть сразу — настройте роутер. Используйте Cloudflare для скорости, Quad9 для безопасности, NextDNS для контроля. Не забудьте проверить работу через 1.1.1.1/help и DNSLeakTest.

DoH — это не серебряная пуля. Он не заменит VPN, не скроет ваш IP, не защитит от всех методов отслеживания. Но в комбинации с другими мерами (HTTPS, ECH, VPN при необходимости) DoH создаёт многослойную защиту. Интернет-провайдер видит зашифрованный трафик, но не понимает, что внутри. А это уже половина победы за вашу конфиденциальность.