Кампанія Google аб пачатку паэтапнага ўключэння (DoH, DNS over HTTPS) для карыстальнікаў Chrome 85, якія выкарыстоўваюць платформу Android. Рэжым будзе ўключацца паступова, ахопліваючы ўсё больш карыстачоў. Раней у пачалося ўключэнне DNS-over-HTTPS для карыстальнікаў настольных сістэм.
DNS-over-HTTPS будзе аўтаматычна актываваны для карыстальнікаў, у настройках якіх указаны DNS-правайдэры, якія падтрымліваюць дадзеную тэхналогію (для DNS-over-HTTPS выкарыстоўваецца той жа правайдэр, які ўжываўся для DNS). Напрыклад, калі ў карыстача ў сістэмных наладах паказаны DNS 8.8.8.8, то ў Chrome будзе актываваны DNS-over-HTTPS сэрвіс Google ("https://dns.google.com/dns-query"), калі DNS - 1.1.1.1 , то DNS-over-HTTPS сэрвіс Cloudflare ("https://cloudflare-dns.com/dns-query") і да т.п.
Для таго каб выключыць праблемы з рэзалвінгам карпаратыўных інтранэт сетак DNS-over-HTTPS не прымяняецца пры вызначэнні выкарыстання браўзэра ў цэнтралізавана кіраваных сістэмах. DNS-over-HTTPS таксама адключаецца пры наяўнасці сістэм бацькоўскага кантролю. У выпадку збояў у працы DNS-over-HTTPS прадугледжана магчымасць адкату налад на звычайны DNS. Для кіравання працай DNS-over-HTTPS у налады браўзэра дададзены адмысловыя опцыі, якія дазваляюць адключыць DNS-over-HTTPS або абраць іншага правайдэра.
Нагадаем, што DNS-over-HTTPS можа апынуцца карысным для выключэння ўцечак звестак аб запытаных імёнах хастоў праз DNS-серверы правайдэраў, дужання з MITM-атакамі і падменай DNS-трафіку (напрыклад, пры падлучэнні да публічных Wi-Fi), супрацьстаянні блакаванням на узроўні DNS (DNS-over-HTTPS не можа замяніць VPN у вобласці абыходу блакіровак, рэалізаваных на ўзроўні DPI) або для арганізацыі працы ў выпадку немагчымасці прамога звароту да DNS-сервераў (напрыклад, пры працы праз проксі). Калі ў звычайнай сітуацыі DNS-запыты наўпрост адпраўляюцца на вызначаныя ў канфігурацыі сістэмы DNS-серверы, то ў выпадку DNS-over-HTTPS запыт на вызначэнне IP-адрасу хаста інкапсулюецца ў трафік HTTPS і адпраўляецца на HTTP-сервер, на якім рэзалвер апрацоўвае запыты праз Web API. Існуючы стандарт DNSSEC выкарыстоўвае шыфраванне толькі для аўтэнтыфікацыі кліента і сервера, але не абараняе трафік ад перахопу і не гарантуе канфідэнцыйнасць запытаў.
Крыніца: opennet.ru