Järgnev
DNS-i pakkujate valge nimekiri sisaldab
Oluline erinevus DoH rakendamisest Firefoxis, mis lubas DoH vaikimisi järk-järgult
Soovi korral saab kasutaja DoH lubada või keelata, kasutades seadet „chrome://flags/#dns-over-https”. Toetatud on kolm töörežiimi: turvaline, automaatne ja välja lülitatud. Turvarežiimis määratakse hostid ainult eelnevalt vahemällu salvestatud turvaliste väärtuste (saadud turvalise ühenduse kaudu) ja DoH kaudu päringute põhjal; tavalist DNS-i ei rakendata. Kui DoH ja turvaline vahemälu pole "automaatses" režiimis saadaval, saab andmeid hankida ebaturvalisest vahemälust ja pääseda juurde traditsioonilise DNS-i kaudu. Väljalülitatud režiimis kontrollitakse esmalt jagatud vahemälu ja andmete puudumisel saadetakse päring süsteemi DNS-i kaudu. Režiim on seatud kaudu
DoH lubamise katse viiakse läbi kõigil Chrome'i toetatud platvormidel, välja arvatud Linux ja iOS, kuna lahendaja seadete sõelumine ja juurdepääsu piiramine süsteemi DNS-sätetele ei ole triviaalne. Kui pärast DoH-i lubamist tekib DoH-serverile päringute saatmisel probleeme (näiteks selle blokeerimise, võrguühenduse või rikke tõttu), tagastab brauser automaatselt süsteemi DNS-i sätted.
Katse eesmärk on lõplikult testida DoH rakendamist ja uurida DoH kasutamise mõju jõudlusele. Tuleb märkida, et tegelikult DoH toetus oli
Tuletagem meelde, et DoH võib olla kasulik taotletud hostinimede teabelekke ärahoidmiseks pakkujate DNS-serverite kaudu, MITM-i rünnakute ja DNS-i liikluse võltsimise vastu võitlemiseks (näiteks avaliku Wi-Fi-ga ühenduse loomisel), DNS-i blokeerimise vastu võitlemiseks. tasemel (DoH ei saa asendada VPN-i DPI tasemel rakendatud blokeerimisest möödahiilimise valdkonnas) või töö korraldamiseks, kui DNS-serveritele pole otsene juurdepääs (näiteks puhverserveri kaudu töötades). Kui tavaolukorras saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritele, siis DoH-i puhul kapseldatakse hosti IP-aadressi määramise päring HTTPS-liiklusse ja saadetakse HTTP-serverisse, kus lahendaja töötleb. päringuid veebi API kaudu. Olemasolev DNSSEC-standard kasutab krüptimist ainult kliendi ja serveri autentimiseks, kuid ei kaitse liiklust pealtkuulamise eest ega garanteeri päringute konfidentsiaalsust.
Allikas: opennet.ru