Nachfolgend
Die weiße Liste der DNS-Anbieter umfasst
Ein wichtiger Unterschied zur Implementierung von DoH in Firefox, bei dem DoH nach und nach standardmäßig aktiviert wurde
Bei Bedarf kann der Benutzer DoH mithilfe der Einstellung „chrome://flags/#dns-over-https“ aktivieren oder deaktivieren. Es werden drei Betriebsmodi unterstützt: sicher, automatisch und aus. Im „sicheren“ Modus werden Hosts nur anhand zuvor zwischengespeicherter sicherer Werte (über eine sichere Verbindung empfangen) und Anfragen über DoH ermittelt; ein Rückgriff auf reguläres DNS wird nicht angewendet. Wenn im „automatischen“ Modus DoH und der sichere Cache nicht verfügbar sind, können Daten aus dem unsicheren Cache abgerufen und über herkömmliches DNS abgerufen werden. Im „Aus“-Modus wird zunächst der gemeinsame Cache überprüft und wenn keine Daten vorhanden sind, wird die Anfrage über den System-DNS gesendet. Der Modus wird über eingestellt
Das Experiment zur Aktivierung von DoH wird auf allen in Chrome unterstützten Plattformen durchgeführt, mit Ausnahme von Linux und iOS, da das Parsen von Resolver-Einstellungen und die Einschränkung des Zugriffs auf System-DNS-Einstellungen nicht trivial sind. Wenn nach der Aktivierung von DoH Probleme beim Senden von Anfragen an den DoH-Server auftreten (z. B. aufgrund einer Blockierung, Netzwerkverbindung oder eines Fehlers), gibt der Browser automatisch die DNS-Einstellungen des Systems zurück.
Der Zweck des Experiments besteht darin, die Implementierung von DoH abschließend zu testen und die Auswirkungen der Verwendung von DoH auf die Leistung zu untersuchen. Es sollte beachtet werden, dass es tatsächlich Unterstützung durch das DoH gab
Erinnern wir uns daran, dass DoH nützlich sein kann, um das Durchsickern von Informationen über die angeforderten Hostnamen über die DNS-Server von Anbietern zu verhindern, MITM-Angriffe und DNS-Traffic-Spoofing (z. B. beim Herstellen einer Verbindung zu öffentlichem WLAN) zu bekämpfen und Blockaden im DNS entgegenzuwirken Ebene (DoH kann ein VPN im Bereich der Umgehung der auf DPI-Ebene implementierten Blockierung nicht ersetzen) oder zur Arbeitsorganisation, wenn ein direkter Zugriff auf DNS-Server nicht möglich ist (z. B. bei der Arbeit über einen Proxy). Wenn in einer normalen Situation DNS-Anfragen direkt an in der Systemkonfiguration definierte DNS-Server gesendet werden, wird im Fall von DoH die Anfrage zur Ermittlung der IP-Adresse des Hosts im HTTPS-Verkehr gekapselt und an den HTTP-Server gesendet, wo der Resolver die Verarbeitung durchführt Anfragen über die Web-API. Der bestehende DNSSEC-Standard verwendet Verschlüsselung nur zur Authentifizierung von Client und Server, schützt den Datenverkehr jedoch nicht vor dem Abfangen und garantiert nicht die Vertraulichkeit von Anfragen.
Source: opennet.ru