Следване
Белият списък на DNS доставчиците включва
Важна разлика от внедряването на DoH във Firefox, което постепенно активира DoH по подразбиране
Ако желае, потребителят може да активира или деактивира DoH с помощта на настройката „chrome://flags/#dns-over-https“. Поддържат се три режима на работа: защитен, автоматичен и изключен. В „сигурен“ режим хостовете се определят само въз основа на предварително кеширани защитени стойности (получени чрез защитена връзка) и заявки чрез DoH; не се прилага резервно връщане към обикновен DNS. В „автоматичен“ режим, ако DoH и защитеният кеш не са налични, данните могат да бъдат извлечени от незащитения кеш и достъпни чрез традиционния DNS. В режим „изключен“ първо се проверява споделеният кеш и ако няма данни, заявката се изпраща през системния DNS. Режимът се задава чрез
Експериментът за активиране на DoH ще бъде проведен на всички платформи, поддържани в Chrome, с изключение на Linux и iOS поради нетривиалния характер на анализирането на настройките на резолвера и ограничаването на достъпа до системните DNS настройки. Ако след активиране на DoH възникнат проблеми при изпращане на заявки към DoH сървъра (например поради неговото блокиране, мрежова свързаност или повреда), браузърът автоматично ще върне системните DNS настройки.
Целта на експеримента е да се тества окончателно прилагането на DoH и да се проучи въздействието от използването на DoH върху производителността. Трябва да се отбележи, че всъщност поддръжката на DoH беше
Нека припомним, че DoH може да бъде полезен за предотвратяване на изтичане на информация за исканите имена на хостове през DNS сървърите на доставчиците, борба с MITM атаки и подправяне на DNS трафик (например при свързване към публичен Wi-Fi), противодействие на блокирането в DNS ниво (DoH не може да замени VPN в областта на заобикаляне на блокиране, реализирано на ниво DPI) или за организиране на работа, ако е невъзможно да се осъществи директен достъп до DNS сървъри (например при работа чрез прокси). Ако в нормална ситуация DNS заявките се изпращат директно до DNS сървъри, дефинирани в системната конфигурация, тогава в случай на DoH заявката за определяне на IP адреса на хоста се капсулира в HTTPS трафик и се изпраща до HTTP сървъра, където резолверът обработва заявки чрез уеб API. Съществуващият стандарт DNSSEC използва криптиране само за удостоверяване на клиента и сървъра, но не защитава трафика от прихващане и не гарантира поверителността на заявките.
Източник: opennet.ru