Následující
Bílá listina poskytovatelů DNS zahrnuje
Důležitý rozdíl oproti implementaci DoH ve Firefoxu, který DoH postupně ve výchozím nastavení povoloval
V případě potřeby může uživatel aktivovat nebo deaktivovat DoH pomocí nastavení „chrome://flags/#dns-over-https“. Podporovány jsou tři provozní režimy: bezpečný, automatický a vypnutý. V „zabezpečeném“ režimu jsou hostitelé určováni pouze na základě dříve uložených zabezpečených hodnot (přijatých prostřednictvím zabezpečeného připojení) a požadavků prostřednictvím DoH; záložní na běžný DNS se nepoužívá. V „automatickém“ režimu, pokud DoH a zabezpečená mezipaměť nejsou k dispozici, lze data načíst z nezabezpečené mezipaměti a přistupovat k nim prostřednictvím tradičního DNS. V režimu „vypnuto“ je nejprve zkontrolována sdílená mezipaměť a pokud nejsou k dispozici žádná data, je odeslán požadavek prostřednictvím systémového DNS. Režim se nastavuje přes
Experiment umožňující DoH bude proveden na všech platformách podporovaných v Chrome, s výjimkou Linuxu a iOS kvůli netriviální povaze analýzy nastavení resolveru a omezení přístupu k systémovým nastavením DNS. Pokud se po povolení DoH vyskytnou problémy s odesíláním požadavků na server DoH (například z důvodu jeho zablokování, síťové konektivity nebo selhání), prohlížeč automaticky vrátí systémové nastavení DNS.
Účelem experimentu je finální testování implementace DoH a studium dopadu používání DoH na výkon. Je třeba poznamenat, že ve skutečnosti podpora DoH byla
Připomeňme, že DoH může být užitečné pro zabránění úniku informací o požadovaných názvech hostitelů přes DNS servery poskytovatelů, v boji proti MITM útokům a DNS traffic spoofing (například při připojení k veřejné Wi-Fi), proti blokování na DNS úroveň (DoH nemůže nahradit VPN v oblasti obcházení blokování implementovaného na úrovni DPI) nebo pro organizaci práce, pokud není možný přímý přístup k serverům DNS (například při práci přes proxy). Pokud jsou za normální situace požadavky DNS odesílány přímo na servery DNS definované v konfiguraci systému, pak v případě DoH je požadavek na určení IP adresy hostitele zapouzdřen do provozu HTTPS a odeslán na server HTTP, kde překladač zpracovává požadavky prostřednictvím webového rozhraní API. Stávající standard DNSSEC používá šifrování pouze k ověření klienta a serveru, ale nechrání provoz před zachycením a nezaručuje důvěrnost požadavků.
Zdroj: opennet.ru