На странице «Обзор безопасного транспорта» приведены примеры командной строки curl для использования обоих API, а также подробные сведения о TLS и других функциях, общих как для DNS через TLS (DoT), так и для DoH.
Google Public DNS не поддерживает небезопасные URL-адреса http: для вызовов API.
HTTP-методы
ПОЛУЧАТЬ
Использование метода GET может уменьшить задержку, поскольку он кэшируется более эффективно. Запросы GET RFC 8484 должны иметь параметр запроса ?dns= с DNS-сообщением в кодировке Base64Url. Метод GET — единственный метод, поддерживаемый API JSON.
ПОЧТА
Метод POST поддерживается только для API RFC 8484 и использует двоичное сообщение DNS с приложением Content-Type/dns-сообщением в теле запроса и в HTTP-ответе DoH.
ГОЛОВА
HEAD в настоящее время не поддерживается и возвращает ошибку 400 Bad Request .
Другие методы возвращают ошибку 501 Not Implemented.
Коды состояния HTTP
Google Public DNS DoH возвращает следующие коды состояния HTTP:
Успех
200 ОК
Анализ HTTP и связь с преобразователем DNS прошли успешно, а содержимое тела ответа представляет собой ответ DNS в двоичной кодировке или кодировке JSON, в зависимости от конечной точки запроса, заголовка Accept и параметров GET.
Перенаправления
301 Переехал навсегда
Клиентам следует повторить попытку по URL-адресу, указанному в заголовке Location: Если исходный запрос был запросом POST, клиенты должны повторять попытку с помощью GET только в том случае, если новый URL-адрес указывает аргумент параметра dns GET; в противном случае клиентам следует повторить попытку с помощью POST.
Другие коды, такие как 302 Found, 307 Temporary Redirect или 308 Permanent Redirect, могут использоваться в будущем, и клиенты DoH должны обрабатывать все четыре кода.
Ответы с постоянными кодами 301 и 308 должны кэшироваться на неопределенный срок, и, если это возможно, пользователям может быть предложено обновить исходную конфигурацию, используя новый URL-адрес.
Запросы POST, которые получают ответы 307 или 308, всегда следует повторять с помощью POST.
Ошибки
Ответы об ошибках будут содержать объяснение статуса HTTP в тексте с использованием HTML или обычного текста.
ошибка 400, неверный запрос
Проблемы с анализом параметров GET или неверное сообщение запроса DNS. Для неправильных параметров GET тело HTTP должно объяснить ошибку. Большинство недействительных DNS-сообщений получают 200 ОК с FORMERR; ошибка HTTP возвращается для искаженных сообщений без раздела вопросов, флажка QR, обозначающего ответ, или других бессмысленных комбинаций флагов с ошибками двоичного анализа DNS.
413 Полезная нагрузка слишком велика
Тело запроса POST RFC 8484 превысило максимальный размер сообщения в 512 байт.
414 URI слишком длинный
Заголовок запроса GET был слишком большим, или параметр dns содержал DNS-сообщение в кодировке Base64Url, превышающее максимальный размер сообщения в 512 байт.
415 Неподдерживаемый тип носителя
В теле POST не было заголовка Content-Type application/dns-message .
429 Слишком много запросов
Клиент отправил слишком много запросов за определенный промежуток времени. Клиенты должны прекратить отправку запросов до времени, указанного в заголовке Retry-After (относительное время в секундах).
500 - внутренняя ошибка сервера
Внутренние ошибки DoH Google Public DNS.
501 Не реализовано
Реализованы только методы GET и POST, другие методы вызывают эту ошибку.
502 Неверный шлюз
Службе DoH не удалось связаться с преобразователями общедоступных DNS Google.
В случае ответа 502, хотя повторная попытка использования альтернативного общедоступного DNS-адреса Google может помочь, более эффективным резервным ответом будет попробовать другую службу DoH или переключиться на традиционный UDP или TCP DNS по адресу 8.8.8.8.
Преимущества DoH
Использование HTTPS, а не только шифрования TLS, имеет некоторые практические преимущества:
Широко доступные и хорошо поддерживаемые API-интерфейсы HTTPS упрощают внедрение как для самого Google Public DNS, так и для потенциальных клиентов.
Служба HTTPS предоставляет веб-приложениям доступ ко всем типам записей DNS, избегая ограничений существующих API-интерфейсов DNS браузера и ОС, которые обычно поддерживают только поиск между хостом и адресом.
Клиенты, реализующие поддержку HTTPS на основе QUIC UDP, могут избежать таких проблем, как блокировка начала строки, которые могут возникнуть при использовании транспорта TCP.
Рекомендации по обеспечению конфиденциальности для Министерства здравоохранения
Разработчикам приложений DoH следует учитывать передовые методы обеспечения конфиденциальности, изложенные в RFC 8484 и подробно описанные ниже:
Ограничьте использование HTTP-заголовков
Заголовки HTTP раскрывают информацию о реализации DoH клиента и могут использоваться для деанонимизации клиентов. Такие заголовки, как Cookie, User-Agent и Accept-Language, являются худшими нарушителями, но даже набор отправленных заголовков может быть показательным. Чтобы свести к минимуму этот риск, отправляйте только HTTP-заголовки, необходимые для DoH: Host, Content-Type (для POST) и, если необходимо, Accept. User-Agent должен быть включен во все разрабатываемые или тестируемые версии.
Использовать параметры заполнения EDNS
Следуйте инструкциям в RFC 8467 по использованию параметров заполнения EDNS для дополнения запросов DoH до нескольких распространенных длин для защиты от анализа трафика. Использование заполнения HTTP/2 также возможно, но, в отличие от заполнения EDNS, оно не будет вызывать заполнение ответов от серверов DoH.
Используйте RFC 8484 POST только для приложений, чувствительных к конфиденциальности, или режимов браузера.
Использование POST для запросов DoH снижает кэшируемость ответов и может увеличить задержку DNS, поэтому обычно не рекомендуется. Однако сокращение кэширования, вероятно, желательно для приложений, чувствительных к конфиденциальности, и может защитить от атак по времени со стороны веб-приложений, пытающихся определить, какие домены пользователь посещал в последнее время.
Проблемы
Чтобы сообщить об ошибке или запросить новую функцию, откройте проблему в DoH .
[[["Прост для понимания","easyToUnderstand","thumb-up"],["Помог мне решить мою проблему","solvedMyProblem","thumb-up"],["Другое","otherUp","thumb-up"]],[["Отсутствует нужная мне информация","missingTheInformationINeed","thumb-down"],["Слишком сложен/слишком много шагов","tooComplicatedTooManySteps","thumb-down"],["Устарел","outOfDate","thumb-down"],["Проблема с переводом текста","translationIssue","thumb-down"],["Проблемы образцов/кода","samplesCodeIssue","thumb-down"],["Другое","otherDown","thumb-down"]],["Последнее обновление: 2025-07-25 UTC."],[[["\u003cp\u003eGoogle Public DNS offers two DoH APIs: \u003ccode\u003edns.google/dns-query\u003c/code\u003e (RFC 8484, GET & POST) and \u003ccode\u003edns.google/resolve\u003c/code\u003e (JSON API, GET only).\u003c/p\u003e\n"],["\u003cp\u003eDoH supports both IPv4 and IPv6 using HTTPS for enhanced security and wider accessibility.\u003c/p\u003e\n"],["\u003cp\u003eFor privacy, minimize HTTP headers, utilize EDNS padding, and consider RFC 8484 POST for sensitive applications.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Public DNS returns various HTTP status codes, including 200 OK for success (check DNS response code for errors) and error codes like 400, 413, 414, 415, 429, 500, 501, and 502.\u003c/p\u003e\n"],["\u003cp\u003eDoH benefits include wider API support, access to all DNS record types for web apps, and potential performance improvements with QUIC.\u003c/p\u003e\n"]]],["Google Public DNS offers two DoH APIs: one using RFC 8484 (supporting GET and POST) and a JSON API (GET only). GET requests use Base64Url-encoded DNS messages in the query parameters; POST requests use binary DNS messages. The service returns standard HTTP status codes, including 200 OK for success, and various error codes (400, 413, 414, 415, 429, 500, 501, 502), with 301, 307, and 308 for redirection. Privacy best practices include limiting HTTP headers, using EDNS padding, and employing POST for sensitive applications.\n"],null,["# DNS-over-HTTPS (DoH)\n\nGoogle Public DNS provides two distinct DoH APIs at these endpoints:\n\n- https://dns.google/dns-query -- [RFC 8484](https://tools.ietf.org/html/rfc8484) (GET and POST)\n- https://dns.google/resolve? -- [JSON API](/speed/public-dns/docs/doh/json) (GET)\n\n| **Note:** There is also a human-friendly web interface at \u003chttps://dns.google/\u003e. This web app displays JSON results in a browser but does not implement an API; do not confuse its https://dns.google/query? URLs with the two API URLs.\n\nThe [Secure Transports Overview](/speed/public-dns/docs/secure-transports#doh)\npage has `curl` command line examples for using both APIs as well as details of\nTLS and other features common to both DNS over TLS (DoT) and DoH.\n\nDoH is also supported for the IPv6-only\n[Google Public DNS64 service](/speed/public-dns/docs/dns64#secure).\n\nGoogle Public DNS does not support insecure `http:` URLs for API calls.\n\nHTTP methods\n------------\n\nGET\n: Using the GET method can reduce latency, as it is cached more effectively.\n RFC 8484 GET requests must have a `?dns=` query parameter with a\n Base64Url encoded DNS message.\n The GET method is the only method supported for the JSON API.\n\nPOST\n: The POST method is only supported for the RFC 8484 API and uses a binary DNS\n message with Content-Type application/dns-message in the request body and in\n the DoH HTTP response.\n\nHEAD\n: *HEAD is not currently supported, and returns a 400 Bad Request error*.\n\nOther methods return 501 Not Implemented errors.\n\nHTTP status codes\n-----------------\n\nGoogle Public DNS DoH returns the following HTTP status codes:\n\n### Success\n\n200 OK\n: HTTP parsing and communication with DNS resolver was successful, and the\n response body content is a DNS response in either binary or JSON encoding,\n depending on the query endpoint, Accept header and GET parameters.\n| **Note:** An HTTP success may still be a DNS failure. Check the DNS response code (JSON \"Status\" field) for the DNS errors SERVFAIL, FORMERR, REFUSED, and NOTIMP.\n\n### Redirections\n\n301 Moved Permanently\n: Clients should retry at the URL provided in the `Location:` header. If the\n original query was a POST request, clients should only retry with GET if the\n new URL specifies a `dns` GET parameter argument; otherwise clients should\n retry with POST.\n\nOther codes such as 302 Found, 307 Temporary Redirect or 308 Permanent Redirect\nmay be used in the future, and DoH clients should handle all four codes.\n\nResponses with the permanent 301 and 308 codes should be cached indefinitely,\nand if practical, users may be prompted to update their original configuration\nusing the new URL.\n\nPOST requests that get 307 or 308 responses should always be retried with POST.\n\n### Errors\n\nError responses will have an explanation of the HTTP status in the body,\nusing either HTML or plain text.\n\n400 Bad Request\n: Problems parsing the GET parameters, or an invalid DNS request message.\n For bad GET parameters, the HTTP body should explain the error. Most invalid\n DNS messages get a 200 OK with a FORMERR; the HTTP error is returned for\n garbled messages with no Question section, a QR flag indicating a reply, or\n other nonsensical flag combinations with binary DNS parse errors.\n\n413 Payload Too Large\n: An RFC 8484 POST request body exceeded the 512 byte maximum message size.\n\n414 URI Too Long\n: The GET query header was too large or the `dns` parameter had a Base64Url\n encoded DNS message exceeding the 512 byte maximum message size.\n\n415 Unsupported Media Type\n: The POST body did not have an `application/dns-message` Content-Type header.\n\n429 Too Many Requests\n: The client has sent too many requests in a given amount of time. Clients\n should stop sending requests until the time specified in the Retry-After\n header (a relative time in seconds).\n\n500 Internal Server Error\n: Google Public DNS internal DoH errors.\n\n501 Not Implemented\n: Only GET and POST methods are implemented, other methods get this error.\n\n502 Bad Gateway\n: The DoH service could not contact Google Public DNS resolvers.\n\nIn the case of a 502 response, although retrying on an alternate Google Public\nDNS address might help, a more effective fallback response would be to try\nanother DoH service, or to switch to traditional UDP or TCP DNS at 8.8.8.8.\n\nBenefits of DoH\n---------------\n\nUsing HTTPS, not just TLS encryption, has some practical benefits:\n\n- Widely available and well-supported HTTPS APIs simplify implementation for both Google Public DNS itself and potential clients.\n- An HTTPS service provides web apps with access to all DNS record types, avoiding the limitations of existing browser and OS DNS APIs, which generally support only host-to-address lookups.\n- Clients that implement QUIC UDP-based HTTPS support can avoid problems like head-of-line blocking that can occur when using TCP transport.\n\nPrivacy Best Practices for DoH\n------------------------------\n\nDevelopers of DoH applications should consider the privacy best practices\noutlined in [RFC 8484](https://tools.ietf.org/html/rfc8484#section-8) and\nexpanded below:\n\n- Limit use of HTTP Headers\n\n HTTP headers reveal information about the client's DoH implementation and\n can be used to deanonymize clients. Headers like Cookie, User-Agent, and\n Accept-Language are the worst offenders, but even the set of headers sent\n can be revealing. To minimize this risk, send only the HTTP headers required\n for DoH: Host, Content-Type (for POST), and if necessary, Accept.\n User-Agent should be included in any development or testing versions.\n- Use EDNS padding options\n\n Follow the guidance in [RFC 8467](https://tools.ietf.org/html/rfc8467) for\n use of EDNS padding options to pad DoH queries to a few common lengths to\n protect against traffic analysis. Use of HTTP/2 padding is also possible but\n unlike EDNS padding, will not elicit padding on responses from DoH servers.\n- Use RFC 8484 POST only for privacy sensitive applications or browser modes\n\n Using POST for DoH queries reduces the cacheability of responses and can\n increase DNS latency, so it is not generally recommended. However, reducing\n caching is probably desirable for privacy sensitive applications, and might\n protect against timing attacks from web apps trying to determine what\n domains the user has visited lately.\n\nIssues\n------\n\nTo report a bug or request a new feature, please open an [issue for DoH](https://issuetracker.google.com/issues/new?component=191657&template=1189745)."]]
