Praćenje
Bijela lista DNS provajdera uključuje
Važna razlika u odnosu na implementaciju DoH-a u Firefox-u, koji je postepeno omogućio DoH po defaultu
Ako želi, korisnik može omogućiti ili onemogućiti DoH koristeći postavku "chrome://flags/#dns-over-https". Podržana su tri načina rada: siguran, automatski i isključen. U „sigurnom“ načinu rada, hostovi se određuju samo na osnovu prethodno keširanih sigurnih vrijednosti (primljenih putem sigurne veze) i zahtjeva putem DoH-a; povratak na obični DNS se ne primjenjuje. U „automatskom“ načinu rada, ako DoH i bezbedna keš memorija nisu dostupni, podaci se mogu preuzeti iz nesigurne keš memorije i pristupiti im preko tradicionalnog DNS-a. U “off” modu, prvo se provjerava dijeljena keš memorija i ako nema podataka, zahtjev se šalje preko sistemskog DNS-a. Režim se postavlja preko
Eksperiment za omogućavanje DoH-a će se provesti na svim platformama podržanim u Chromeu, s izuzetkom Linuxa i iOS-a zbog netrivijalne prirode raščlanjivanja postavki razrjeđivača i ograničavanja pristupa sistemskim DNS postavkama. Ako nakon omogućavanja DoH-a dođe do problema sa slanjem zahtjeva na DoH server (na primjer, zbog njegovog blokiranja, mrežne povezanosti ili kvara), pretraživač će automatski vratiti sistemske DNS postavke.
Svrha eksperimenta je konačno testiranje implementacije DoH-a i proučavanje utjecaja korištenja DoH-a na performanse. Treba napomenuti da je u stvari podrška DoH bila
Podsjetimo, DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hosta preko DNS servera provajdera, suzbijanje MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), sprječavanje blokiranja na DNS-u razini (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na DPI nivou) ili za organizaciju rada ako je nemoguće direktno pristupiti DNS serverima (na primjer, kada se radi preko proxyja). Ako se u normalnoj situaciji DNS zahtjevi direktno šalju na DNS servere definirane u konfiguraciji sistema, tada se u slučaju DoH-a zahtjev za određivanje IP adrese hosta inkapsulira u HTTPS promet i šalje na HTTP server, gdje razrješavač obrađuje zahtjeva putem Web API-ja. Postojeći DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i servera, ali ne štiti promet od presretanja i ne garantuje povjerljivost zahtjeva.
izvor: opennet.ru