Folgjend
De wite list fan DNS-providers omfettet
In wichtich ferskil mei de ymplemintaasje fan DoH yn Firefox, dy't DoH stadichoan standert ynskeakele
As jo wolle, kin de brûker DoH ynskeakelje of útskeakelje mei de ynstelling "chrome://flags/#dns-over-https". Trije bestjoeringsmodi wurde stipe: feilich, automatysk en út. Yn "feilige" modus wurde hosts allinich bepaald op basis fan earder yn 'e cache bewarre feilige wearden (ûntfongen fia in feilige ferbining) en oanfragen fia DoH; weromfal nei reguliere DNS wurdt net tapast. Yn 'e "automatyske" modus, as DoH en de feilige cache net beskikber binne, kinne gegevens wurde ophelle út it ûnfeilige cache en tagong fia tradisjonele DNS. Yn "út" modus wurdt de dielde cache earst kontrolearre en as der gjin gegevens binne, wurdt it fersyk fia it systeem DNS stjoerd. De modus wurdt ynsteld fia
It eksperimint om DoH yn te skeakeljen sil wurde útfierd op alle platfoarms stipe yn Chrome, mei útsûndering fan Linux en iOS fanwegen de net-triviale aard fan it parsearjen fan resolverynstellingen en it beheinen fan tagong ta systeem DNS-ynstellingen. As d'r, nei it ynskeakeljen fan DoH, problemen binne mei it ferstjoeren fan fersiken nei de DoH-tsjinner (bygelyks fanwege it blokkearjen, netwurkferbining of mislearjen), sil de browser automatysk de DNS-ynstellingen fan it systeem weromjaan.
It doel fan it eksperimint is om de ymplemintaasje fan DoH definityf te testen en de ynfloed te studearjen fan it brûken fan DoH op prestaasjes. Dêrby moat opmurken wurde dat yn feite DoH-stipe wie
Lit ús ûnthâlde dat DoH nuttich kin wêze foar it foarkommen fan lekken fan ynformaasje oer de oanfrege hostnammen fia de DNS-tsjinners fan providers, it bestriden fan MITM-oanfallen en DNS-ferkearspoofing (bygelyks by ferbining mei iepenbiere Wi-Fi), tsjin blokkearjen by de DNS nivo (DoH kin gjin VPN ferfange op it mêd fan blokkearjen ymplementearre op DPI-nivo) of foar it organisearjen fan wurk as it ûnmooglik is om direkt tagong te krijen ta DNS-tsjinners (bygelyks as jo wurkje fia in proxy). As yn in normale situaasje DNS-oanfragen direkt stjoerd wurde nei DNS-tsjinners definieare yn 'e systeemkonfiguraasje, dan yn' t gefal fan DoH, wurdt it fersyk om it IP-adres fan 'e host te bepalen ynkapsele yn HTTPS-ferkear en stjoerd nei de HTTP-tsjinner, wêr't de resolver ferwurket oanfragen fia de Web API. De besteande DNSSEC-standert brûkt allinich fersifering om de kliïnt en tsjinner te autentisearjen, mar beskermet ferkear net tsjin ûnderskepping en garandearret net de fertroulikens fan oanfragen.
Boarne: opennet.ru