Følgende
Den hvite listen over DNS-leverandører inkluderer
En viktig forskjell fra implementeringen av DoH i Firefox, som gradvis aktivert DoH som standard
Hvis ønskelig, kan brukeren aktivere eller deaktivere DoH ved å bruke "chrome://flags/#dns-over-https"-innstillingen. Tre driftsmoduser støttes: sikker, automatisk og av. I "sikker" modus bestemmes verter kun basert på tidligere hurtigbufrede sikre verdier (mottatt via en sikker tilkobling) og forespørsler via DoH; fallback til vanlig DNS brukes ikke. I "automatisk" modus, hvis DoH og den sikre cachen ikke er tilgjengelig, kan data hentes fra den usikre cachen og få tilgang til gjennom tradisjonell DNS. I "av"-modus blir den delte hurtigbufferen først sjekket, og hvis det ikke er data, sendes forespørselen gjennom systemets DNS. Modusen stilles inn via
Eksperimentet for å aktivere DoH vil bli utført på alle plattformer som støttes i Chrome, med unntak av Linux og iOS på grunn av den ikke-trivielle naturen til å analysere oppløsningsinnstillinger og begrense tilgangen til systemets DNS-innstillinger. Hvis det, etter å ha aktivert DoH, er problemer med å sende forespørsler til DoH-serveren (for eksempel på grunn av blokkering, nettverkstilkobling eller feil), vil nettleseren automatisk returnere systemets DNS-innstillinger.
Formålet med eksperimentet er å endelig teste implementeringen av DoH og studere effekten av å bruke DoH på ytelsen. Det skal bemerkes at DoH-støtte faktisk var
La oss huske at DoH kan være nyttig for å forhindre lekkasjer av informasjon om de forespurte vertsnavnene gjennom DNS-serverne til leverandører, bekjempe MITM-angrep og DNS-trafikk-spoofing (for eksempel når du kobler til offentlig Wi-Fi), motvirke blokkering på DNS. nivå (DoH kan ikke erstatte en VPN i området for å omgå blokkering implementert på DPI-nivå) eller for organisering av arbeid hvis det er umulig å få direkte tilgang til DNS-servere (for eksempel når du arbeider gjennom en proxy). Hvis DNS-forespørsler i en normal situasjon sendes direkte til DNS-servere som er definert i systemkonfigurasjonen, er forespørselen om å bestemme vertens IP-adresse, i tilfelle av DoH, innkapslet i HTTPS-trafikk og sendt til HTTP-serveren, hvor løseren behandler forespørsler via web-API. Den eksisterende DNSSEC-standarden bruker kryptering kun for å autentisere klienten og serveren, men beskytter ikke trafikk mot avlytting og garanterer ikke konfidensialiteten til forespørsler.
Kilde: opennet.ru