Czym jest prywatne DNS? Jak działa i jak je skonfigurować
Czym jest prywatne DNS?
Prywatne DNS to funkcja, która szyfruje Twoje zapytania DNS, dzięki czemu nikt pomiędzy Twoim urządzeniem a serwerem DNS nie może zobaczyć, jakie strony odwiedzasz. Wykorzystuje protokoły takie jak DNS over TLS (DoT) lub DNS over HTTPS (DoH), aby otoczyć Twoje zapytania zaszyfrowanym tunelem.
Bez prywatnego DNS każda nazwa domeny wpisana w przeglądarkę jest wysyłana jako tekst jawny przez internet. Twój dostawca internetu, każda osoba w Twojej sieci Wi-Fi i każde urządzenie pośredniczące na trasie sieciowej może odczytać, a nawet zmodyfikować te zapytania. Prywatne DNS zapobiega temu, szyfrując połączenie między Twoim urządzeniem a resolwerem DNS.
Termin 'prywatne DNS' jest najczęściej kojarzony z ustawieniem w Androidzie wprowadzonym w Android 9 Pie (2018), ale podstawowa technologia — szyfrowane DNS — jest dostępna na każdej większej platformie, w tym iOS, Windows, macOS i Linux.
Jak działa zwykłe DNS (i dlaczego to problem)
Tradycyjne DNS wysyła zapytania jako tekst jawny od 1987 roku. Gdy wpisujesz nazwę domeny w przeglądarkę, Twoje urządzenie wysyła zapytanie DNS przez port UDP 53 do resolwera DNS (zwykle serwera Twojego dostawcy internetu). Resolwer odpowiada adresem IP — wszystko całkowicie bez szyfrowania.
Oznacza to, że każda osoba na Twojej ścieżce sieciowej może zobaczyć każdą odwiedzaną domenę. Twój dostawca internetu może tworzyć kompletny profil przeglądania. Atakujący na publicznym Wi-Fi mogą przechwycić Twoje zapytania. Niektórzy dostawcy nawet przechwytują odpowiedzi DNS, przekierowując Cię na własne strony wyszukiwania lub reklam.
DNS jest również podatne na zatruwanie pamięci podręcznej i ataki spoofingowe, w których atakujący wysyła sfałszowane odpowiedzi, przekierowując Cię na złośliwe strony bez Twojej wiedzy. Tradycyjne DNS nie posiada wbudowanego mechanizmu weryfikacji, czy odpowiedź rzeczywiście pochodzi od prawdziwego serwera DNS.
Jak działa prywatne DNS
Prywatne DNS opakowuje Twoje zapytania DNS w zaszyfrowane połączenie. Zamiast wysyłać zapytanie tekstem jawnym na porcie UDP 53, Twoje urządzenie najpierw nawiązuje zaszyfrowaną sesję z resolwerem DNS, a następnie wysyła zapytanie przez ten bezpieczny tunel.
Resolwer DNS deszyfruje Twoje zapytanie, rozwiązuje nazwę domeny na adres IP, szyfruje odpowiedź i odsyła ją z powrotem. Cała wymiana jest niewidoczna dla kogokolwiek monitorującego sieć — widzą, że komunikujesz się z serwerem DNS, ale nie mogą zobaczyć, jakie domeny odpytujesz.
Obecnie stosowane są trzy protokoły szyfrowanego DNS: DNS over TLS (DoT), DNS over HTTPS (DoH) i DNS over QUIC (DoQ). Każdy z nich stosuje inne podejście do szyfrowania tego samego zapytania DNS.
DNS over TLS vs DNS over HTTPS vs DNS over QUIC
Wszystkie trzy protokoły szyfrują Twoje zapytania DNS, ale różnią się sposobem transportu danych oraz łatwością wykrywania i blokowania.
DoT to najczęściej używany protokół dla systemowego prywatnego DNS (Android, Linux). Używa dedykowanego portu (853), co ułatwia administratorom sieci jego identyfikację i blokowanie.
DoH jest preferowany przez przeglądarki internetowe, ponieważ wtapia się w zwykły ruch HTTPS na porcie 443, co czyni go praktycznie niemożliwym do zablokowania bez zepsucia całej sieci. Chrome, Firefox i Edge obsługują DoH natywnie.
DoQ to najnowszy protokół (2022) i najszybszy. Wykorzystuje transport QUIC z wbudowanym szyfrowaniem TLS 1.3 i może nawiązywać połączenia z zerową liczbą podróży (0-RTT). Android 13+ obsługuje DoQ, a dostawcy tacy jak AdGuard planują uczynić go domyślnym protokołem.
| Cecha | DNS over TLS (DoT) | DNS over HTTPS (DoH) | DNS over QUIC (DoQ) |
|---|---|---|---|
| RFC | RFC 7858 (2016) | RFC 8484 (2018) | RFC 9250 (2022) |
| Port | TCP 853 (dedykowany) | TCP 443 (współdzielony z HTTPS) | UDP 853 |
| Transport | TLS over TCP | HTTP/2 lub HTTP/3 over TLS | QUIC (wbudowany TLS 1.3) |
| Możliwość blokowania | Łatwe — wystarczy zablokować port 853 | Bardzo trudne — ten sam port co cały HTTPS | Średnie — UDP 853 |
| Opóźnienie | Niskie | Nieco wyższe (narzut HTTP) | Najniższe (możliwe 0-RTT) |
| Używany przez | Prywatne DNS na Androidzie, poziom systemowy | Przeglądarki (Chrome, Firefox, Edge) | AdGuard, NextDNS, Cloudflare |
| Rozpowszechnienie | Szerokie | Szerokie | Rosnące |
Jak włączyć prywatne DNS na Androidzie
Android posiada wbudowaną obsługę prywatnego DNS od Androida 9 Pie (2018). Wykorzystuje DNS over TLS i działa na poziomie całego systemu dla wszystkich aplikacji.
Krok 1: Otwórz Ustawienia > Sieć i internet (lub Połączenia na Samsungu)
Krok 2: Stuknij Prywatne DNS (może być konieczne stuknięcie 'Zaawansowane' lub 'Więcej ustawień połączeń')
Krok 3: Wybierz Nazwa hosta dostawcy prywatnego DNS
Krok 4: Wpisz nazwę hosta DoT. Przykłady:
1dot1dot1dot1.cloudflare-dns.com(Cloudflare),dns.google(Google),dns.quad9.net(Quad9),dns.adguard-dns.com(AdGuard)Krok 5: Stuknij Zapisz. Android zweryfikuje połączenie — jeśli się nie powiedzie, wyświetli błąd
Jak włączyć prywatne DNS na iPhonie i iPadzie
Apple nie oferuje prostego przełącznika jak Android. Szyfrowane DNS na iOS wymaga zainstalowania profilu konfiguracyjnego lub użycia aplikacji DNS.
Metoda 1: Aplikacja DNS — Zainstaluj aplikację 1.1.1.1 (Cloudflare), NextDNS lub AdGuard z App Store. Otwórz aplikację i włącz szyfrowane DNS. Pojawi się w Ustawienia > Ogólne > VPN, DNS i zarządzanie urządzeniem.
Metoda 2: Profil konfiguracyjny — Pobierz plik
.mobileconfigz zaufanego źródła (np. repozytorium GitHubpaulmillr/encrypted-dns). Przejdź do Ustawienia > Ogólne > VPN, DNS i zarządzanie urządzeniem, wybierz pobrany profil i stuknij Zainstaluj.Metoda 3: DNS per sieć — Przejdź do Ustawienia > Wi-Fi, stuknij (i) obok Twojej sieci, stuknij Konfiguruj DNS, wybierz Ręcznie i dodaj adresy IP serwerów DNS (np. 1.1.1.1, 1.0.0.1). Uwaga: to NIE szyfruje DNS — zmienia jedynie resolwer.
Jak włączyć DNS over HTTPS na Windows 11
Windows 11 obsługuje DNS over HTTPS natywnie. Dostarczany jest z listą rozpoznanych dostawców DoH, w tym Cloudflare, Google i Quad9.
Krok 1: Otwórz Ustawienia > Sieć i internet > Wi-Fi (lub Ethernet)
Krok 2: Kliknij Właściwości sprzętowe dla swojego połączenia
Krok 3: Kliknij Edytuj obok przypisania serwera DNS
Krok 4: Wybierz Ręcznie, włącz IPv4
Krok 5: Wpisz główny serwer DNS (np.
1.1.1.1), ustaw DNS over HTTPS na Włączony (szablon automatyczny)Krok 6: Wpisz dodatkowy serwer DNS (np.
1.0.0.1), ustaw DoH również na WłączonyKrok 7: Kliknij Zapisz. Wpis DNS powinien teraz wyświetlać etykietę Zaszyfrowany
# View pre-configured DoH providers in Windows 11
netsh dns show encryption
# Add a custom DoH provider via PowerShell
Add-DnsClientDohServerAddress -ServerAddress '1.1.1.1' -DohTemplate 'https://cloudflare-dns.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $TrueJak włączyć prywatne DNS na macOS
macOS obsługuje szyfrowane DNS poprzez profile konfiguracyjne (tak samo jak iOS) lub aplikacje DNS.
Metoda 1: Aplikacja DNS — Zainstaluj aplikację Cloudflare 1.1.1.1 (lub podobną) i ją włącz. Aplikacja konfiguruje DoH lub DoT na poziomie systemu.
Metoda 2: Profil konfiguracyjny — Pobierz plik
.mobileconfig, kliknij dwukrotnie, aby zainstalować, a następnie zatwierdź go w Ustawienia systemowe > Prywatność i bezpieczeństwo > Profile.Metoda 3: Terminal (zaawansowane) — Użyj
networksetup, aby zmienić serwery DNS, ale pamiętaj, że zmiana DNS z poziomu wiersza poleceń NIE włącza szyfrowania. Nadal potrzebujesz profilu lub aplikacji do szyfrowanego DNS.
Najlepsi dostawcy prywatnego DNS (2026)
Oto najpopularniejsi dostawcy prywatnego DNS, ich nazwy hostów dla prywatnego DNS na Androidzie oraz to, co wyróżnia każdego z nich.
Cloudflare 1.1.1.1 to najszybszy publiczny resolwer DNS obsługujący wszystkie trzy szyfrowane protokoły (DoT, DoH, DoQ). Oferuje warianty bezpieczne dla rodzin: security.cloudflare-dns.com (blokowanie malware) i family.cloudflare-dns.com (blokowanie malware + treści dla dorosłych). Cloudflare zobowiązuje się do nielogowania Twojego adresu IP i jest audytowany corocznie.
Google Public DNS to najczęściej używany publiczny resolwer. Obsługuje DoT i DoH, ale loguje tymczasowe dane przez 24-48 godzin przed ich anonimizacją. Jeśli absolutna prywatność jest Twoim priorytetem, Cloudflare lub Quad9 to lepszy wybór.
Quad9 działa pod jurysdykcją Szwajcarii z rygorystyczną polityką braku logowania IP. Automatycznie blokuje znane złośliwe domeny, wykorzystując dane o zagrożeniach od ponad 25 firm zajmujących się cyberbezpieczeństwem — co czyni go najlepszym wyborem dla użytkowników skupionych na bezpieczeństwie.
AdGuard DNS blokuje reklamy i trackery na poziomie DNS, co oznacza, że reklamy są blokowane na całym urządzeniu bez instalowania oddzielnego blokera reklam. Był jednym z pierwszych, którzy wdrożyli DNS over QUIC i planuje uczynić DoQ swoim domyślnym protokołem.
NextDNS daje Ci największą kontrolę. Otrzymujesz własną nazwę hosta, konfigurowalne listy blokowania, analitykę per urządzenie, kontrolę rodzicielską i panel do sprawdzania, co dokładnie jest blokowane. Darmowy plan obejmuje 300 000 zapytań miesięcznie.
| Dostawca | Nazwa hosta DoT | IPv4 | Najlepszy do |
|---|---|---|---|
| Cloudflare | 1dot1dot1dot1.cloudflare-dns.com | 1.1.1.1 / 1.0.0.1 | Szybkość — najszybszy publiczny resolwer na świecie (~5ms średnio) |
| dns.google | 8.8.8.8 / 8.8.4.4 | Niezawodność — ogromna globalna infrastruktura | |
| Quad9 | dns.quad9.net | 9.9.9.9 / 149.112.112.112 | Bezpieczeństwo — blokuje złośliwe domeny za pomocą ponad 25 źródeł informacji o zagrożeniach |
| AdGuard | dns.adguard-dns.com | 94.140.14.14 / 94.140.15.15 | Blokowanie reklam — blokuje reklamy i trackery na poziomie DNS |
| NextDNS | <YOUR-ID>.dns.nextdns.io | Custom | Personalizacja — w pełni konfigurowalne listy blokowania i analityka |
Korzyści z używania prywatnego DNS
Włączenie prywatnego DNS na Twoich urządzeniach zapewnia natychmiastową poprawę bezpieczeństwa i prywatności.
Powstrzymuje podglądanie przez dostawcę internetu — Twój dostawca nie może już widzieć, jakie domeny odpytujesz, ani budować profilu przeglądania na podstawie Twojego ruchu DNS
Zapobiega spoofingowi DNS — Uwierzytelnianie TLS weryfikuje, że rozmawiasz z prawdziwym serwerem DNS, a nie z atakującym
Chroni na publicznym Wi-Fi — Inni użytkownicy tej samej sieci nie mogą przechwycić Twoich zapytań DNS
Blokuje przejmowanie DNS — Twoje zapytania nie mogą być po cichu przekierowane przez skompromitowany router lub złośliwą sieć
Omija transparentne proxy DNS — Niektórzy dostawcy internetu przechwytują DNS na porcie 53 nawet gdy używasz zewnętrznych serwerów. Szyfrowane DNS używa innych portów, omijając te proxy
Opcjonalne blokowanie reklam i malware — Dostawcy tacy jak AdGuard, NextDNS i Quad9 mogą blokować reklamy, trackery i złośliwe domeny na poziomie DNS
Działa na całym systemie — Po włączeniu prywatne DNS chroni wszystkie aplikacje na Twoim urządzeniu, nie tylko przeglądarkę
Potencjalne wady prywatnego DNS
Prywatne DNS nie jest idealne. Oto kompromisy, o których powinieneś wiedzieć.
Niewielkie opóźnienie przy pierwszym zapytaniu — Uzgadnianie TLS dodaje około 15-35ms do pierwszego zapytania DNS. Po tym połączenie jest ponownie używane, a kolejne zapytania są równie szybkie.
Portale logowania mogą nie działać — Sieci Wi-Fi w hotelach, na lotniskach i w kawiarniach, które wymagają strony logowania, często potrzebują nieszyfrowanego DNS do przekierowania. Prywatne DNS może uniemożliwić ładowanie tych portali.
Sieci korporacyjne mogą je blokować — Działy IT potrzebują widoczności DNS do monitorowania bezpieczeństwa. Wiele sieci firmowych celowo blokuje szyfrowane DNS do zewnętrznych resolwerów.
Problem centralizacji — Szyfrowane DNS zachęca do korzystania z kilku dużych resolwerów (Cloudflare, Google), koncentrując ruch DNS u mniejszej liczby firm.
Nie szyfruje wszystkiego — Prywatne DNS szyfruje zapytania o domeny, ale Twój dostawca internetu nadal może widzieć adresy IP, z którymi się łączysz, poprzez SNI w uzgadnianiu TLS (chyba że używasz również ECH).
Problemy z DNS typu split-horizon — Organizacje używające różnych wewnętrznych i zewnętrznych resolwerów DNS mogą mieć problemy, gdy urządzenia omijają wewnętrzny resolwer.
'Ta sieć blokuje zaszyfrowany ruch DNS' — co to oznacza
Jeśli widzisz to ostrzeżenie na swoim iPhonie lub Macu, oznacza to, że sieć, do której jesteś podłączony, uniemożliwia dotarcie Twoich zaszyfrowanych zapytań DNS do celu. Twoje zapytania DNS są wysyłane tekstem jawnym i każdy w sieci może zobaczyć, jakie domeny odwiedzasz.
To ostrzeżenie często pojawia się w sieciach korporacyjnych, na Wi-Fi w szkołach, sieciach hotelowych i lotniskowych z portalami logowania oraz w sieciach ze starszym oprogramowaniem routera, które nie obsługuje szyfrowanego DNS.
Uruchom ponownie urządzenie i router — To resetuje procesy sieciowe i często rozwiązuje tymczasowe problemy
Zapomnij sieć Wi-Fi i połącz się ponownie — Przejdź do ustawień Wi-Fi, zapomnij sieć, a następnie dołącz ponownie
Zaktualizuj firmware routera — Starsze oprogramowanie może nieprawidłowo obsługiwać zaszyfrowany ruch DNS
Użyj VPN — VPN szyfruje cały ruch, w tym DNS, omijając wszelkie blokowanie DNS na poziomie sieci
Zaakceptuj to w sieciach zarządzanych — W sieciach korporacyjnych lub szkolnych blokowanie szyfrowanego DNS jest często celowe ze względów bezpieczeństwa. Może nie być możliwości jego obejścia
Jak zweryfikować, czy prywatne DNS działa
Po włączeniu prywatnego DNS warto sprawdzić, czy Twoje zapytania są faktycznie szyfrowane i kierowane przez wybranego dostawcę.
Strona diagnostyczna Cloudflare — Odwiedź 1.1.1.1/help, aby zobaczyć, czy używasz DoH, DoT czy nieszyfrowanego DNS oraz który resolwer obsługuje Twoje zapytania
Test wycieku DNS — Odwiedź dnsleaktest.com i uruchom rozszerzony test. Jeśli widzisz tylko serwery wybranego dostawcy (nie Twojego ISP), szyfrowane DNS działa prawidłowo
Użyj naszego narzędzia DNS Lookup — DNS Lookup DNS Robot pozwala odpytywać konkretne serwery DNS, aby zweryfikować, czy odpowiadają zgodnie z oczekiwaniami
Test wycieku przeglądarki — Odwiedź browserleaks.com/dns, aby sprawdzić, z jakich serwerów DNS korzysta Twoja przeglądarka
# Test DNS over TLS with kdig
kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
# Check which resolver is responding
dig whoami.cloudflare.com TXT @1.1.1.1
# Test DNS over HTTPS with curl
curl -s -H 'accept: application/dns-json' \
'https://cloudflare-dns.com/dns-query?name=example.com&type=A'Sprawdź swoją konfigurację DNS
Użyj narzędzia DNS Lookup DNS Robot, aby zweryfikować swoje ustawienia DNS, sprawdzić, które serwery nazw odpowiadają, i rozwiązać problemy z DNS.
Try DNS LookupFrequently Asked Questions
Prywatne DNS na Androidzie to wbudowana funkcja (od Androida 9), która szyfruje Twoje zapytania DNS za pomocą DNS over TLS. Po włączeniu wszystkie aplikacje na Twoim urządzeniu wysyłają zapytania DNS przez zaszyfrowany tunel, uniemożliwiając dostawcy internetu i operatorom sieci podglądanie odwiedzanych stron.