Google vaiheittaisen sisällyttämisen alkamisesta (DoH, DNS yli HTTPS) Chrome 85 -käyttäjille, jotka käyttävät Android-alustaa. Tila aktivoituu asteittain ja kattaa yhä useammat käyttäjät. Aikaisemmin sisään DNS-over-HTTPS:n käyttöönotto työpöytäkäyttäjille on alkanut.
DNS-over-HTTPS aktivoidaan automaattisesti käyttäjille, joiden asetukset määrittävät tätä tekniikkaa tukevat DNS-palveluntarjoajat (DNS-over-HTTPS:ssä käytetään samaa palveluntarjoajaa kuin DNS:ssä). Jos käyttäjällä on esimerkiksi järjestelmäasetuksissa määritetty DNS 8.8.8.8, Googlen DNS-over-HTTPS-palvelu ("https://dns.google.com/dns-query") aktivoituu Chromessa, jos DNS on 1.1.1.1, sitten DNS-over-HTTPS-palvelu Cloudflare ("https://cloudflare-dns.com/dns-query") jne.
Yritysten intranet-verkkojen ratkaisemiseen liittyvien ongelmien poistamiseksi DNS-over-HTTPS:ää ei käytetä määritettäessä selaimen käyttöä keskitetysti hallittavissa järjestelmissä. DNS-over-HTTPS on myös poistettu käytöstä, kun lapsilukkojärjestelmä on asennettu. Jos DNS-over-HTTPS:n toiminnassa ilmenee virheitä, on mahdollista palauttaa asetukset tavalliseen DNS:ään. DNS-over-HTTPS:n toiminnan ohjaamiseksi selaimen asetuksiin on lisätty erityisasetuksia, joiden avulla voit poistaa DNS-over-HTTPS:n käytöstä tai valita toisen palveluntarjoajan.
Muistetaan, että DNS-over-HTTPS voi olla hyödyllinen estämään pyydettyjä isäntänimiä koskevien tietojen vuotaminen palveluntarjoajien DNS-palvelimien kautta, torjumaan MITM-hyökkäyksiä ja DNS-liikenteen huijausta (esimerkiksi yhdistettäessä julkiseen Wi-Fi-verkkoon), torjumaan esto DNS-tasolla (DNS-over-HTTPS ei voi korvata VPN:ää ohittaessaan DPI-tasolla toteutettua estoa) tai töiden järjestämiseen, kun DNS-palvelimiin ei pääse suoraan (esimerkiksi välityspalvelimen kautta). Jos normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmäasetuksissa määritellyille DNS-palvelimille, niin DNS-over-HTTPS:n tapauksessa pyyntö isännän IP-osoitteen määrittämiseksi kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa Ratkaisija käsittelee pyynnöt Web API:n kautta. Nykyinen DNSSEC-standardi käyttää salausta vain asiakkaan ja palvelimen todentamiseen, mutta ei suojaa liikennettä sieppaukselta eikä takaa pyyntöjen luottamuksellisuutta.
Lähde: opennet.ru