Google over de start van gefaseerde inclusie (DoH, DNS via HTTPS) voor Chrome 85-gebruikers die het Android-platform gebruiken. De modus zal geleidelijk worden geactiveerd en voor steeds meer gebruikers zorgen. Eerder binnen Het inschakelen van DNS-over-HTTPS voor desktopgebruikers is begonnen.
DNS-over-HTTPS wordt automatisch geactiveerd voor gebruikers van wie de instellingen DNS-providers specificeren die deze technologie ondersteunen (voor DNS-over-HTTPS wordt dezelfde provider gebruikt als voor DNS). Als de gebruiker bijvoorbeeld DNS 8.8.8.8 heeft opgegeven in de systeeminstellingen, wordt de DNS-over-HTTPS-service van Google (“https://dns.google.com/dns-query”) geactiveerd in Chrome als de DNS is 1.1.1.1, dan DNS-over-HTTPS-service Cloudflare (“https://cloudflare-dns.com/dns-query”), enz.
Om problemen bij het oplossen van bedrijfsintranetnetwerken te elimineren, wordt DNS-over-HTTPS niet gebruikt bij het bepalen van het browsergebruik in centraal beheerde systemen. DNS-over-HTTPS wordt ook uitgeschakeld wanneer systemen voor ouderlijk toezicht zijn geïnstalleerd. Bij storingen in de werking van DNS-over-HTTPS is het mogelijk de instellingen terug te draaien naar reguliere DNS. Om de werking van DNS-over-HTTPS te controleren, zijn er speciale opties toegevoegd aan de browserinstellingen waarmee u DNS-over-HTTPS kunt uitschakelen of een andere provider kunt selecteren.
Laten we niet vergeten dat DNS-over-HTTPS nuttig kan zijn voor het voorkomen van het lekken van informatie over de opgevraagde hostnamen via de DNS-servers van providers, het bestrijden van MITM-aanvallen en het spoofen van DNS-verkeer (bijvoorbeeld bij het verbinden met openbare Wi-Fi), het tegengaan van blokkeren op DNS-niveau (DNS-over-HTTPS kan een VPN niet vervangen bij het omzeilen van blokkering geïmplementeerd op DPI-niveau) of voor het organiseren van werk wanneer het onmogelijk is om rechtstreeks toegang te krijgen tot DNS-servers (bijvoorbeeld wanneer u via een proxy werkt). Als in een normale situatie DNS-verzoeken rechtstreeks naar DNS-servers worden verzonden die in de systeemconfiguratie zijn gedefinieerd, dan wordt in het geval van DNS-over-HTTPS het verzoek om het host-IP-adres te bepalen ingekapseld in HTTPS-verkeer en verzonden naar de HTTP-server, waar de oplosser verwerkt verzoeken via de web-API. De bestaande DNSSEC-standaard gebruikt alleen encryptie om de client en server te authenticeren, maar beschermt het verkeer niet tegen onderschepping en garandeert niet de vertrouwelijkheid van verzoeken.
Bron: opennet.ru