Sekvante
La blanka listo de DNS-provizantoj inkluzivas
Grava diferenco de la efektivigo de DoH en Fajrovulpo, kiu iom post iom ebligis DoH defaŭlte
Se vi deziras, la uzanto povas ebligi aŭ malŝalti DoH uzante la agordon "chrome://flags/#dns-over-https". Tri operaciumoj estas subtenataj: sekura, aŭtomata kaj malŝaltita. En "sekura" reĝimo, gastigantoj estas determinitaj nur surbaze de antaŭe konservitaj sekuraj valoroj (ricevitaj per sekura konekto) kaj petoj per DoH; restarigo al regula DNS ne estas aplikata. En la "aŭtomata" reĝimo, se DoH kaj la sekura kaŝmemoro estas neatingeblaj, datumoj povas esti prenitaj de la nesekura kaŝmemoro kaj alireblaj per tradicia DNS. En "for" reĝimo, la komuna kaŝmemoro unue estas kontrolita kaj se ne estas datumoj, la peto estas sendita per la sistemo DNS. La reĝimo estas agordita per
La eksperimento por ebligi DoH estos efektivigita sur ĉiuj platformoj subtenataj en Chrome, kun la escepto de Linukso kaj iOS pro la ne-triviala naturo de analizado de solvigaj agordoj kaj limigado de aliro al sistemaj DNS-agordoj. Se, post ebligo de DoH, estas problemoj sendi petojn al la DoH-servilo (ekzemple pro ĝia blokado, reto-konekto aŭ malsukceso), la retumilo aŭtomate resendos la sistemajn DNS-agordojn.
La celo de la eksperimento estas finfine testi la efektivigon de DoH kaj studi la efikon de uzado de DoH sur efikeco. Oni devas rimarki, ke fakte DoH-subteno estis
Ni rememoru, ke DoH povas esti utila por malhelpi likojn de informoj pri la petitaj gastigantnomoj tra la DNS-serviloj de provizantoj, kontraŭbatali MITM-atakojn kaj DNS-trafikan falsigon (ekzemple, kiam li konektas al publika Wi-Fi), kontraŭbatali blokadon ĉe la DNS. nivelo (DoH ne povas anstataŭigi VPN en la areo de preterpasi blokadon efektivigita ĉe la DPI-nivelo) aŭ por organizi laboron se estas neeble rekte aliri DNS-servilojn (ekzemple, kiam vi laboras per prokurilo). Se en normala situacio DNS-petoj estas rekte senditaj al DNS-serviloj difinitaj en la sistema agordo, tiam en la kazo de DoH, la peto por determini la IP-adreson de la gastiganto estas enkapsuligita en HTTPS-trafiko kaj sendita al la HTTP-servilo, kie la solvilo procesas. petoj per la Reta API. La ekzistanta DNSSEC-normo uzas ĉifradon nur por aŭtentikigi la klienton kaj servilon, sed ne protektas trafikon kontraŭ interkapto kaj ne garantias la konfidencon de petoj.
fonto: opennet.ru