Seguint
La llista blanca de proveïdors de DNS inclou
Una diferència important amb la implementació de DoH a Firefox, que gradualment va habilitar DoH per defecte
Si ho desitja, l'usuari pot activar o desactivar DoH mitjançant la configuració "chrome://flags/#dns-over-https". S'admeten tres modes de funcionament: segur, automàtic i apagat. En el mode "segur", els amfitrions es determinen només en funció dels valors segurs guardats a la memòria cau prèviament (rebuts mitjançant una connexió segura) i de les sol·licituds mitjançant DoH; no s'aplica el recurs al DNS normal. En el mode "automàtic", si DoH i la memòria cau segura no estan disponibles, les dades es poden recuperar de la memòria cau insegura i accedir-hi mitjançant el DNS tradicional. En mode "desactivat", primer es comprova la memòria cau compartida i si no hi ha dades, la sol·licitud s'envia a través del DNS del sistema. El mode s'estableix mitjançant
L'experiment per habilitar DoH es portarà a terme a totes les plataformes compatibles amb Chrome, a excepció de Linux i iOS a causa de la naturalesa no trivial de l'anàlisi de la configuració del resolutor i la restricció de l'accés a la configuració del DNS del sistema. Si, després d'habilitar DoH, hi ha problemes per enviar sol·licituds al servidor DoH (per exemple, a causa del seu bloqueig, connectivitat de xarxa o fallada), el navegador retornarà automàticament la configuració del DNS del sistema.
L'objectiu de l'experiment és provar finalment la implementació de DoH i estudiar l'impacte de l'ús de DoH en el rendiment. Cal assenyalar que, de fet, el suport de DoH ho era
Recordem que DoH pot ser útil per prevenir filtracions d'informació sobre els noms d'amfitrió sol·licitats a través dels servidors DNS dels proveïdors, combatre els atacs MITM i la falsificació del trànsit DNS (per exemple, quan es connecta a una xarxa Wi-Fi pública), contrarestar el bloqueig al DNS. nivell (DoH no pot substituir una VPN a l'àrea d'obviació del bloqueig implementat a nivell de DPI) o per organitzar el treball si és impossible accedir directament als servidors DNS (per exemple, quan es treballa a través d'un proxy). Si en una situació normal les sol·licituds DNS s'envien directament als servidors DNS definits a la configuració del sistema, aleshores, en el cas de DoH, la sol·licitud per determinar l'adreça IP de l'amfitrió s'encapsula en el trànsit HTTPS i s'envia al servidor HTTP, on el resolutor processa sol·licituds mitjançant l'API web. L'estàndard DNSSEC existent utilitza el xifratge només per autenticar el client i el servidor, però no protegeix el trànsit de la intercepció i no garanteix la confidencialitat de les sol·licituds.
Font: opennet.ru