Google sobre el inicio de la inclusión gradual (DoH, DNS sobre HTTPS) para usuarios de Chrome 85 que utilizan la plataforma Android. El modo se activará gradualmente, abarcando cada vez a más usuarios. Anteriormente en Ha comenzado la habilitación de DNS sobre HTTPS para usuarios de escritorio.
DNS sobre HTTPS se activará automáticamente para los usuarios cuya configuración especifique proveedores de DNS que admitan esta tecnología (para DNS sobre HTTPS se utiliza el mismo proveedor que para DNS). Por ejemplo, si el usuario tiene DNS 8.8.8.8 especificado en la configuración del sistema, entonces el servicio DNS-over-HTTPS de Google ("https://dns.google.com/dns-query") se activará en Chrome si el DNS es 1.1.1.1, luego el servicio DNS sobre HTTPS Cloudflare (“https://cloudflare-dns.com/dns-query”), etc.
Para eliminar problemas con la resolución de redes de intranet corporativas, no se utiliza DNS sobre HTTPS para determinar el uso del navegador en sistemas administrados centralmente. DNS sobre HTTPS también se desactiva cuando se instalan sistemas de control parental. En caso de fallas en el funcionamiento de DNS sobre HTTPS, es posible revertir la configuración al DNS normal. Para controlar el funcionamiento de DNS sobre HTTPS, se han agregado opciones especiales a la configuración del navegador que le permiten deshabilitar DNS sobre HTTPS o seleccionar un proveedor diferente.
Recordemos que DNS-over-HTTPS puede ser útil para prevenir fugas de información sobre los nombres de host solicitados a través de los servidores DNS de los proveedores, combatir ataques MITM y la suplantación de tráfico DNS (por ejemplo, al conectarse a una red Wi-Fi pública), contrarrestar bloquear a nivel DNS (DNS-over-HTTPS no puede reemplazar una VPN para evitar el bloqueo implementado a nivel DPI) o para organizar el trabajo cuando es imposible acceder directamente a los servidores DNS (por ejemplo, cuando se trabaja a través de un proxy). Si en una situación normal las solicitudes DNS se envían directamente a los servidores DNS definidos en la configuración del sistema, entonces, en el caso de DNS sobre HTTPS, la solicitud para determinar la dirección IP del host se encapsula en el tráfico HTTPS y se envía al servidor HTTP, donde el solucionador procesa solicitudes a través de API web. El estándar DNSSEC existente utiliza cifrado sólo para autenticar al cliente y al servidor, pero no protege el tráfico contra la interceptación y no garantiza la confidencialidad de las solicitudes.
Fuente: opennet.ru