Google om starten på etapevis inklusion (DoH, DNS over HTTPS) for Chrome 85-brugere, der bruger Android-platformen. Tilstanden aktiveres gradvist og dækker flere og flere brugere. Tidligere i Aktivering af DNS-over-HTTPS for desktopbrugere er begyndt.
DNS-over-HTTPS vil automatisk blive aktiveret for brugere, hvis indstillinger specificerer DNS-udbydere, der understøtter denne teknologi (for DNS-over-HTTPS bruges den samme udbyder som for DNS). For eksempel, hvis brugeren har DNS 8.8.8.8 angivet i systemindstillingerne, så aktiveres Googles DNS-over-HTTPS-tjeneste ("https://dns.google.com/dns-query") i Chrome, hvis DNS'en er 1.1.1.1, så DNS-over-HTTPS-tjenesten Cloudflare ("https://cloudflare-dns.com/dns-query") osv.
For at eliminere problemer med at løse virksomhedens intranet-netværk, bruges DNS-over-HTTPS ikke til bestemmelse af browserbrug i centralt administrerede systemer. DNS-over-HTTPS er også deaktiveret, når forældrekontrolsystemer er installeret. I tilfælde af fejl i driften af DNS-over-HTTPS, er det muligt at rulle indstillingerne tilbage til almindelig DNS. For at kontrollere driften af DNS-over-HTTPS er der tilføjet særlige muligheder til browserindstillingerne, som giver dig mulighed for at deaktivere DNS-over-HTTPS eller vælge en anden udbyder.
Lad os huske på, at DNS-over-HTTPS kan være nyttigt til at forhindre læk af information om de anmodede værtsnavne gennem udbydernes DNS-servere, bekæmpe MITM-angreb og DNS-trafik-spoofing (f.eks. ved tilslutning til offentlig Wi-Fi), modvirke blokering på DNS-niveau (DNS-over-HTTPS kan ikke erstatte en VPN ved at omgå blokering implementeret på DPI-niveau) eller til at organisere arbejde, når det er umuligt at få direkte adgang til DNS-servere (f.eks. når du arbejder gennem en proxy). Hvis DNS-anmodninger i en normal situation sendes direkte til DNS-servere defineret i systemkonfigurationen, er anmodningen om at bestemme værtens IP-adresse i tilfælde af DNS-over-HTTPS indkapslet i HTTPS-trafik og sendt til HTTP-serveren, hvor resolveren behandler anmodninger via Web API. Den eksisterende DNSSEC-standard bruger kun kryptering til at autentificere klienten og serveren, men beskytter ikke trafik mod aflytning og garanterer ikke fortroligheden af anmodninger.
Kilde: opennet.ru