Következő
A DNS-szolgáltatók fehér listája tartalmazza
Fontos különbség a DoH Firefoxban való megvalósításához képest, amely alapértelmezés szerint fokozatosan engedélyezte a DoH-t
Kívánt esetben a felhasználó engedélyezheti vagy letilthatja a DoH-t a „chrome://flags/#dns-over-https” beállítással. Három üzemmód támogatott: biztonságos, automatikus és kikapcsolt. „Biztonságos” módban a gazdagépek meghatározása csak a korábban gyorsítótárazott (biztonságos kapcsolaton keresztül kapott) biztonságos értékek és a DoH-n keresztüli kérések alapján történik; a rendszer nem alkalmazza a normál DNS-re való visszaállást. „Automatikus” módban, ha a DoH és a biztonságos gyorsítótár nem érhető el, az adatok lekérhetők a nem biztonságos gyorsítótárból, és a hagyományos DNS-en keresztül érhetők el. Kikapcsolt módban először a megosztott gyorsítótárat ellenőrzik, és ha nincs adat, akkor a rendszer DNS-en keresztül küldi el a kérést. Az üzemmód beállítása a következőn keresztül történik
A DoH engedélyezésére irányuló kísérletet a Chrome által támogatott összes platformon végrehajtják, kivéve a Linuxot és az iOS-t, a feloldóbeállítások elemzésének nem triviális jellege és a rendszer DNS-beállításaihoz való hozzáférés korlátozása miatt. Ha a DoH engedélyezése után problémák merülnek fel a DoH-szerver felé irányuló kérések elküldésében (például annak blokkolása, hálózati csatlakozása vagy meghibásodása miatt), a böngésző automatikusan visszaadja a rendszer DNS-beállításait.
A kísérlet célja a DoH megvalósításának végső tesztelése és a DoH használatának a teljesítményre gyakorolt hatásának vizsgálata. Meg kell jegyezni, hogy valójában a DoH támogatása volt
Emlékezzünk vissza, hogy a DoH hasznos lehet a kért gazdagépnevekre vonatkozó információ kiszivárogtatásának megakadályozására a szolgáltatók DNS-kiszolgálóin keresztül, a MITM-támadások és a DNS-forgalom meghamisítása elleni küzdelemben (például nyilvános Wi-Fi-hez való csatlakozáskor), a DNS-blokkolások elleni küzdelemben. szinten (a DoH nem helyettesítheti a VPN-t a DPI-szinten megvalósított blokkolás megkerülésének területén) vagy a munka megszervezéséhez, ha lehetetlen közvetlenül elérni a DNS-kiszolgálókat (például proxy-n keresztül végzett munka során). Ha normál helyzetben a DNS kérések közvetlenül a rendszerkonfigurációban meghatározott DNS szerverekhez kerülnek, akkor DoH esetén a gazdagép IP-címének meghatározására irányuló kérés HTTPS forgalomba kerül, és elküldésre kerül a HTTP szerverre, ahol a feloldó feldolgozza. kéréseket a webes API-n keresztül. A meglévő DNSSEC szabvány csak a kliens és a szerver hitelesítésére használ titkosítást, de nem védi a forgalmat az elfogástól, és nem garantálja a kérések bizalmasságát.
Forrás: opennet.ru