Следам за
У белы спіс DNS-правайдэраў уключаны
Важным адрозненнем ад укаранення DoH у Firefox, у якім паэтапнае ўключэнне па змаўчанні DoH
Пры жаданні карыстач зможа ўключыць або адключыць DoH пры дапамозе налады "chrome://flags/#dns-over-https". Падтрымліваецца тры рэжыму працы "secure", "automatic" і "off". У рэжыме «secure» хасты вызначаюцца толькі на аснове раней пракэшаваных бяспечных значэнняў (атрыманых праз абароненае злучэнне) і запытаў праз DoH, адкат на звычайны DNS не прымяняецца. У рэжыме "automatic" калі DoH і абаронены кэш недаступныя дапушчаецца атрыманне дадзеных з небяспечнага кэша і зварот праз традыцыйны DNS. У рэжыме "off" спачатку правяраецца агульны кэш і калі дадзеных няма, запыт адпраўляецца праз сістэмны DNS. Рэжым задаецца праз
Эксперымент па ўключэнні DoH будзе праведзены на ўсіх падтрымліваемых у Chrome платформах, за выключэннем Linux і iOS з-за нетрывіяльнасці разбору налад рэзаверу і абмежаванні доступу да сістэмных налад DNS. У выпадку, калі пасля ўключэння DoH узнікнуць збоі з адпраўкай запытаў на сервер DoH (напрыклад, з-за яго блакіроўкі, парушэнні сеткавай складнасці або выхаду з ладу), браўзэр аўтаматычна верне сістэмныя налады DNS.
Мэтай правядзення эксперыменту з'яўляецца фінальная праверка рэалізацыі DoH і вывучэнне ўплыву прымянення DoH на прадукцыйнасць. Варта адзначыць, што фактычна падтрымка DoH была
Нагадаем, што DoH можа апынуцца карысным для выключэння ўцечак звестак аб запытаных імёнах хастоў праз DNS-серверы правайдэраў, дужання з MITM-атакамі і падменай DNS-трафіку (напрыклад, пры падлучэнні да публічных Wi-Fi), супрацьстаянні блакаванням на ўзроўні DNS (DoH не можа замяніць VPN у вобласці абыходу блакіровак, рэалізаваных на ўзроўні DPI) або для арганізацыі працы ў выпадку немагчымасці прамога звароту да DNS-серверам (напрыклад, пры працы праз проксі). Калі ў звычайнай сітуацыі DNS-запыты наўпрост адпраўляюцца на вызначаныя ў канфігурацыі сістэмы DNS-серверы, то ў выпадку DoH запыт на вызначэнне IP-адрасу хаста інкапсулюецца ў трафік HTTPS і адпраўляецца на HTTP-сервер, на якім рэзавер апрацоўвае запыты праз Web API. Існуючы стандарт DNSSEC выкарыстоўвае шыфраванне толькі для аўтэнтыфікацыі кліента і сервера, але не абараняе трафік ад перахопу і не гарантуе канфідэнцыйнасць запытаў.
Крыніца: opennet.ru