Google sull’inizio dell’inclusione graduale (DoH, DNS su HTTPS) per gli utenti di Chrome 85 che utilizzano la piattaforma Android. La modalità verrà attivata gradualmente, coprendo sempre più utenti. Precedentemente dentro È iniziata l'abilitazione di DNS-over-HTTPS per gli utenti desktop.
DNS-over-HTTPS verrà attivato automaticamente per gli utenti le cui impostazioni specificano provider DNS che supportano questa tecnologia (per DNS-over-HTTPS viene utilizzato lo stesso provider del DNS). Ad esempio, se l'utente ha specificato DNS 8.8.8.8 nelle impostazioni di sistema, il servizio DNS-over-HTTPS di Google ("https://dns.google.com/dns-query") verrà attivato in Chrome se il DNS è 1.1.1.1 , quindi il servizio DNS-over-HTTPS Cloudflare (“https://cloudflare-dns.com/dns-query”), ecc.
Per eliminare i problemi con la risoluzione delle reti intranet aziendali, DNS-over-HTTPS non viene utilizzato per determinare l'utilizzo del browser nei sistemi gestiti centralmente. Anche DNS-over-HTTPS è disabilitato quando sono installati i sistemi di controllo parentale. In caso di errori nel funzionamento di DNS-over-HTTPS, è possibile ripristinare le impostazioni sul DNS normale. Per controllare il funzionamento di DNS-over-HTTPS, sono state aggiunte opzioni speciali alle impostazioni del browser che consentono di disattivare DNS-over-HTTPS o selezionare un provider diverso.
Ricordiamo che DNS-over-HTTPS può essere utile per prevenire fughe di informazioni sui nomi host richiesti attraverso i server DNS dei provider, contrastare gli attacchi MITM e lo spoofing del traffico DNS (ad esempio durante la connessione a reti Wi-Fi pubbliche), contrastare il blocco a livello DNS (DNS-over-HTTPS non può sostituire una VPN nell'aggirare il blocco implementato a livello DPI) o per organizzare il lavoro quando è impossibile accedere direttamente ai server DNS (ad esempio quando si lavora tramite proxy). Se in una situazione normale le richieste DNS vengono inviate direttamente ai server DNS definiti nella configurazione del sistema, nel caso di DNS-over-HTTPS la richiesta per determinare l'indirizzo IP dell'host viene incapsulata nel traffico HTTPS e inviata al server HTTP, dove il risolutore elabora le richieste tramite API Web. Lo standard DNSSEC esistente utilizza la crittografia solo per autenticare client e server, ma non protegge il traffico dalle intercettazioni e non garantisce la riservatezza delle richieste.
Fonte: opennet.ru