Følge
Den hvide liste over DNS-udbydere inkluderer
En vigtig forskel fra implementeringen af DoH i Firefox, som gradvist aktiverede DoH som standard
Hvis det ønskes, kan brugeren aktivere eller deaktivere DoH ved at bruge indstillingen "chrome://flags/#dns-over-https". Tre driftstilstande understøttes: sikker, automatisk og slukket. I "sikker" tilstand bestemmes værter kun baseret på tidligere cachelagrede sikre værdier (modtaget via en sikker forbindelse) og anmodninger via DoH; fallback til almindelig DNS anvendes ikke. I den "automatiske" tilstand, hvis DoH og den sikre cache ikke er tilgængelig, kan data hentes fra den usikre cache og tilgås via traditionel DNS. I "fra"-tilstand kontrolleres den delte cache først, og hvis der ikke er nogen data, sendes anmodningen gennem systemets DNS. Tilstanden indstilles via
Eksperimentet for at aktivere DoH vil blive udført på alle platforme, der understøttes i Chrome, med undtagelse af Linux og iOS på grund af den ikke-trivielle karakter af parsing af resolver-indstillinger og begrænsning af adgang til systemets DNS-indstillinger. Hvis der efter aktivering af DoH er problemer med at sende anmodninger til DoH-serveren (f.eks. på grund af blokering, netværksforbindelse eller fejl), vil browseren automatisk returnere systemets DNS-indstillinger.
Formålet med eksperimentet er at endelig teste implementeringen af DoH og undersøge virkningen af at bruge DoH på ydeevnen. Det skal bemærkes, at DoH-støtte faktisk var
Lad os huske på, at DoH kan være nyttigt til at forhindre læk af information om de anmodede værtsnavne gennem udbydernes DNS-servere, bekæmpe MITM-angreb og DNS-trafik-spoofing (for eksempel ved tilslutning til offentlig Wi-Fi), modvirke blokering på DNS. niveau (DoH kan ikke erstatte en VPN i området for omgåelse af blokering implementeret på DPI-niveau) eller til at organisere arbejde, hvis det er umuligt at få direkte adgang til DNS-servere (f.eks. når du arbejder gennem en proxy). Hvis DNS-anmodninger i en normal situation sendes direkte til DNS-servere defineret i systemkonfigurationen, så i tilfælde af DoH, indkapsles anmodningen om at bestemme værtens IP-adresse i HTTPS-trafik og sendes til HTTP-serveren, hvor resolveren behandler anmodninger via Web API. Den eksisterende DNSSEC-standard bruger kun kryptering til at autentificere klienten og serveren, men beskytter ikke trafik mod aflytning og garanterer ikke fortroligheden af anmodninger.
Kilde: opennet.ru