Suivant
La liste blanche des fournisseurs DNS comprend
Une différence importante avec l'implémentation de DoH dans Firefox, qui activait progressivement DoH par défaut
S'il le souhaite, l'utilisateur peut activer ou désactiver DoH à l'aide du paramètre « chrome://flags/#dns-over-https ». Trois modes de fonctionnement sont pris en charge : sécurisé, automatique et désactivé. En mode « sécurisé », les hôtes sont déterminés uniquement sur la base des valeurs sécurisées précédemment mises en cache (reçues via une connexion sécurisée) et des requêtes via DoH ; le repli vers le DNS standard n'est pas appliqué. En mode « automatique », si DoH et le cache sécurisé ne sont pas disponibles, les données peuvent être récupérées du cache non sécurisé et accessibles via le DNS traditionnel. En mode « off », le cache partagé est d'abord vérifié et s'il n'y a pas de données, la requête est envoyée via le DNS du système. Le mode est réglé via
L'expérience visant à activer DoH sera menée sur toutes les plates-formes prises en charge dans Chrome, à l'exception de Linux et iOS en raison de la nature non triviale de l'analyse des paramètres du résolveur et de la restriction de l'accès aux paramètres DNS du système. Si, après avoir activé DoH, il y a des problèmes pour envoyer des requêtes au serveur DoH (par exemple, en raison de son blocage, de sa connectivité réseau ou de son échec), le navigateur renverra automatiquement les paramètres DNS du système.
Le but de l'expérience est de tester définitivement l'implémentation de DoH et d'étudier l'impact de l'utilisation de DoH sur les performances. Il convient de noter qu'en réalité, le soutien du DoH a été
Rappelons que DoH peut être utile pour empêcher les fuites d'informations sur les noms d'hôtes demandés via les serveurs DNS des fournisseurs, lutter contre les attaques MITM et l'usurpation du trafic DNS (par exemple, lors de la connexion au Wi-Fi public), contrer le blocage au niveau du DNS. (Le DoH ne peut pas remplacer un VPN dans le domaine du contournement des blocages mis en œuvre au niveau DPI) ou pour organiser le travail s'il est impossible d'accéder directement aux serveurs DNS (par exemple, lorsque l'on travaille via un proxy). Si dans une situation normale les requêtes DNS sont directement envoyées aux serveurs DNS définis dans la configuration du système, alors dans le cas de DoH, la requête pour déterminer l'adresse IP de l'hôte est encapsulée dans le trafic HTTPS et envoyée au serveur HTTP, où le résolveur traite requêtes via l’API Web. La norme DNSSEC existante utilise le cryptage uniquement pour authentifier le client et le serveur, mais ne protège pas le trafic contre l'interception et ne garantit pas la confidentialité des demandes.
Source: opennet.ru