Google sur le début de l'inclusion progressive (DoH, DNS sur HTTPS) pour les utilisateurs de Chrome 85 utilisant la plateforme Android. Le mode sera activé progressivement, couvrant de plus en plus d'utilisateurs. Auparavant dans L'activation du DNS sur HTTPS pour les utilisateurs d'ordinateurs de bureau a commencé.
DNS-over-HTTPS sera automatiquement activé pour les utilisateurs dont les paramètres spécifient des fournisseurs DNS prenant en charge cette technologie (pour DNS-over-HTTPS, le même fournisseur est utilisé que pour DNS). Par exemple, si l'utilisateur a spécifié DNS 8.8.8.8 dans les paramètres système, le service DNS-over-HTTPS de Google (« https://dns.google.com/dns-query ») sera activé dans Chrome si le DNS est 1.1.1.1, puis le service DNS-over-HTTPS Cloudflare (« https://cloudflare-dns.com/dns-query »), etc.
Pour éliminer les problèmes liés à la résolution des réseaux intranet d'entreprise, DNS sur HTTPS n'est pas utilisé lors de la détermination de l'utilisation du navigateur dans les systèmes gérés de manière centralisée. DNS sur HTTPS est également désactivé lorsque des systèmes de contrôle parental sont installés. En cas d'échec du fonctionnement du DNS sur HTTPS, il est possible de restaurer les paramètres vers le DNS normal. Pour contrôler le fonctionnement du DNS sur HTTPS, des options spéciales ont été ajoutées aux paramètres du navigateur qui vous permettent de désactiver DNS sur HTTPS ou de sélectionner un autre fournisseur.
Rappelons que DNS-over-HTTPS peut être utile pour empêcher les fuites d'informations sur les noms d'hôtes demandés via les serveurs DNS des fournisseurs, lutter contre les attaques MITM et l'usurpation du trafic DNS (par exemple, lors de la connexion au Wi-Fi public), contrer le blocage au niveau DNS (le DNS sur HTTPS ne peut pas remplacer un VPN pour contourner le blocage mis en œuvre au niveau DPI) ou pour organiser le travail lorsqu'il est impossible d'accéder directement aux serveurs DNS (par exemple, lorsque l'on travaille via un proxy). Si, dans une situation normale, les requêtes DNS sont directement envoyées aux serveurs DNS définis dans la configuration du système, alors dans le cas du DNS sur HTTPS, la requête visant à déterminer l'adresse IP de l'hôte est encapsulée dans le trafic HTTPS et envoyée au serveur HTTP, où le résolveur traite les requêtes via l'API Web. La norme DNSSEC existante utilise le cryptage uniquement pour authentifier le client et le serveur, mais ne protège pas le trafic contre l'interception et ne garantit pas la confidentialité des demandes.
Source: opennet.ru