Als vervolg op
Inclusief DNS-providers op de witte lijst
Een belangrijk verschil met de implementatie van DoH in Firefox, waarbij DoH geleidelijk standaard werd ingeschakeld
Indien gewenst kan de gebruiker DoH in- of uitschakelen met behulp van de instelling “chrome://flags/#dns-over-https”. Er worden drie bedrijfsmodi ondersteund: veilig, automatisch en uit. In de “beveiligde” modus worden hosts alleen bepaald op basis van eerder in de cache opgeslagen veilige waarden (ontvangen via een beveiligde verbinding) en verzoeken via DoH; er wordt niet teruggevallen op reguliere DNS. In de “automatische” modus, als DoH en de beveiligde cache niet beschikbaar zijn, kunnen gegevens uit de onveilige cache worden opgehaald en toegankelijk worden gemaakt via traditionele DNS. In de “uit”-modus wordt eerst de gedeelde cache gecontroleerd en als er geen gegevens zijn, wordt het verzoek via de systeem-DNS verzonden. De modus wordt ingesteld via
Het experiment om DoH mogelijk te maken zal worden uitgevoerd op alle platforms die in Chrome worden ondersteund, met uitzondering van Linux en iOS vanwege de niet-triviale aard van het parseren van de resolutie-instellingen en het beperken van de toegang tot de DNS-instellingen van het systeem. Als er na het inschakelen van DoH problemen optreden bij het verzenden van verzoeken naar de DoH-server (bijvoorbeeld vanwege blokkering, netwerkconnectiviteit of storing), retourneert de browser automatisch de DNS-instellingen van het systeem.
Het doel van het experiment is om de implementatie van DoH definitief te testen en de impact van het gebruik van DoH op de prestaties te bestuderen. Opgemerkt moet worden dat DoH in feite steun verleende
Laten we niet vergeten dat DoH nuttig kan zijn voor het voorkomen van het lekken van informatie over de opgevraagde hostnamen via de DNS-servers van providers, het tegengaan van MITM-aanvallen en spoofing van DNS-verkeer (bijvoorbeeld bij verbinding met openbare Wi-Fi), het tegengaan van blokkering bij de DNS niveau (DoH kan een VPN niet vervangen op het gebied van het omzeilen van blokkeringen geïmplementeerd op DPI-niveau) of voor het organiseren van werk als het onmogelijk is om rechtstreeks toegang te krijgen tot DNS-servers (bijvoorbeeld bij het werken via een proxy). Als in een normale situatie DNS-verzoeken rechtstreeks naar de DNS-servers worden verzonden die in de systeemconfiguratie zijn gedefinieerd, wordt in het geval van DoH het verzoek om het IP-adres van de host te bepalen ingekapseld in HTTPS-verkeer en naar de HTTP-server gestuurd, waar de oplosser de processen verwerkt. aanvragen via de Web API. De bestaande DNSSEC-standaard gebruikt alleen encryptie om de client en server te authenticeren, maar beschermt het verkeer niet tegen onderschepping en garandeert niet de vertrouwelijkheid van verzoeken.
Bron: opennet.ru