Seguindo
A lista branca de provedores de DNS inclúe
Unha diferenza importante coa implementación de DoH en Firefox, que gradualmente habilitou DoH por defecto
Se o desexa, o usuario pode activar ou desactivar DoH mediante a configuración "chrome://flags/#dns-over-https". Admítense tres modos de funcionamento: seguro, automático e desactivado. No modo "seguro", os anfitrións determínanse só en función de valores seguros previamente almacenados na memoria caché (recibidos mediante unha conexión segura) e solicitudes a través de DoH; non se aplica a alternativa ao DNS normal. No modo "automático", se o DoH e a caché segura non están dispoñibles, os datos pódense recuperar da caché insegura e acceder a través do DNS tradicional. No modo "desactivado", compróbase primeiro a caché compartida e, se non hai datos, a solicitude envíase a través do DNS do sistema. O modo establécese mediante
O experimento para habilitar DoH levarase a cabo en todas as plataformas compatibles con Chrome, a excepción de Linux e iOS debido á natureza non trivial de analizar a configuración do resolutor e restrinxir o acceso á configuración de DNS do sistema. Se, despois de habilitar DoH, hai problemas para enviar solicitudes ao servidor DoH (por exemplo, debido ao seu bloqueo, conexión de rede ou fallo), o navegador devolverá automaticamente a configuración DNS do sistema.
O propósito do experimento é probar finalmente a implementación do DoH e estudar o impacto do uso do DoH no rendemento. Cómpre sinalar que, de feito, o apoio DoH foi
Lembremos que DoH pode ser útil para evitar filtracións de información sobre os nomes de host solicitados a través dos servidores DNS dos provedores, combater ataques MITM e suplantación de tráfico DNS (por exemplo, cando se conecta a wifi pública), contrarrestar o bloqueo no DNS. nivel (DoH non pode substituír unha VPN na área de evitar o bloqueo implementado a nivel de DPI) ou para organizar o traballo se é imposible acceder directamente aos servidores DNS (por exemplo, cando se traballa a través dun proxy). Se nunha situación normal as solicitudes de DNS envíanse directamente aos servidores DNS definidos na configuración do sistema, entón no caso de DoH, a solicitude para determinar o enderezo IP do host encápsulase no tráfico HTTPS e envíase ao servidor HTTP, onde o resolutor procesa. solicitudes a través da API web. O estándar DNSSEC existente usa o cifrado só para autenticar o cliente e o servidor, pero non protexe o tráfico da intercepción e non garante a confidencialidade das solicitudes.
Fonte: opennet.ru