Компания Google о начале поэтапного включения (DoH, DNS over HTTPS) для пользователей Chrome 85, использующих платформу Android. Режим будет включаться постепенно, охватывая всё больше пользователей. Ранее в началось включение DNS-over-HTTPS для пользователей настольных систем.
DNS-over-HTTPS будет автоматически активирован для пользователей, в настройках которых указаны DNS-провайдеры, поддерживающие данную технологию (для DNS-over-HTTPS используется тот же провайдер, который применялся для DNS). Например, если у пользователя в системных настройках указан DNS 8.8.8.8, то в Chrome будет активирован DNS-over-HTTPS сервис Google («https://dns.google.com/dns-query»), если DNS — 1.1.1.1, то DNS-over-HTTPS сервис Cloudflare («https://cloudflare-dns.com/dns-query») и т.п.
Для того чтобы исключить проблемы с резолвингом корпоративных интранет сетей DNS-over-HTTPS не применяется при определении использования браузера в централизованно управляемых системах. DNS-over-HTTPS также отключается при наличии систем родительского контроля. В случае сбоев в работе DNS-over-HTTPS предусмотрена возможность отката настроек на обычный DNS. Для управления работой DNS-over-HTTPS в настройки браузера добавлены специальные опции, позволяющие отключить DNS-over-HTTPS или выбрать другого провайдера.
Напомним, что DNS-over-HTTPS может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DNS-over-HTTPS не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DNS-over-HTTPS запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
Источник: opennet.ru