Seguito da
Provider DNS autorizzati inclusi
Si tratta di una differenza importante rispetto all'implementazione DoH di Firefox, in cui DoH è abilitato in modo incrementale per impostazione predefinita
Se lo desidera, l'utente potrà abilitare o disabilitare DoH utilizzando l'impostazione "chrome://flags/#dns-over-https". Sono supportate tre modalità operative "sicuro", "automatico" e "spento". Nella modalità "sicura", gli host vengono determinati solo in base ai valori sicuri precedentemente memorizzati nella cache (ottenuti tramite una connessione sicura) e alle richieste tramite DoH, non viene applicato il fallback al DNS normale. Nella modalità "automatica", se DoH e la cache sicura non sono disponibili, i dati possono essere recuperati dalla cache non sicura e accessibili tramite il DNS tradizionale. Nella modalità "off" viene prima controllata la cache condivisa e se non sono presenti dati, la richiesta viene inviata tramite il DNS del sistema. La modalità viene impostata tramite
L'esperimento per abilitare DoH verrà effettuato su tutte le piattaforme supportate in Chrome, ad eccezione di Linux e iOS a causa della non banalità dell'analisi delle impostazioni del risolutore e della limitazione dell'accesso alle impostazioni del sistema DNS. Se, dopo aver abilitato DoH, si verificano errori nell'invio delle richieste al server DoH (ad esempio, a causa del suo blocco, di un errore o di un guasto della connettività di rete), il browser restituirà automaticamente le impostazioni del sistema DNS.
Lo scopo dell'esperimento è testare finalmente l'implementazione della DoH e studiare l'impatto dell'applicazione della DoH sulle prestazioni. Va notato che l'effettivo supporto DoH era
Ricordiamo che il DoH può essere utile per prevenire fughe di informazioni sui nomi host richiesti attraverso i server DNS dei provider, contrastare gli attacchi MITM e lo spoofing del traffico DNS (ad esempio quando ci si connette a Wi-Fi pubblici), contrastare il blocco a livello DNS (DoH non può sostituire la VPN nell'ambito dell'elusione del blocco implementato a livello DPI) o per organizzare il lavoro nel caso in cui sia impossibile accedere direttamente ai server DNS (ad esempio, quando si lavora tramite proxy). Mentre in una situazione normale le richieste DNS vengono inviate direttamente ai server DNS definiti nella configurazione del sistema, nel caso di DoH, la richiesta di determinare l'indirizzo IP dell'host viene incapsulata nel traffico HTTPS e inviata al server HTTP, su cui si trova il risolutore elabora le richieste tramite l'API Web. L'attuale standard DNSSEC utilizza la crittografia solo per autenticare client e server, ma non protegge il traffico dalle intercettazioni e non garantisce la riservatezza delle richieste.
Fonte: opennet.ru