Następny
Biała lista dostawców DNS obejmuje
Ważna różnica w stosunku do implementacji DoH w Firefoksie, która stopniowo domyślnie włączała DoH
W razie potrzeby użytkownik może włączyć lub wyłączyć DoH za pomocą ustawienia „chrome://flags/#dns-over-https”. Obsługiwane są trzy tryby pracy: bezpieczny, automatyczny i wyłączony. W trybie „bezpiecznym” hosty są określane wyłącznie na podstawie wcześniej buforowanych bezpiecznych wartości (otrzymanych przez bezpieczne połączenie) i żądań za pośrednictwem DoH; powrót do zwykłego DNS nie jest stosowany. W trybie „automatycznym”, jeśli DoH i bezpieczna pamięć podręczna są niedostępne, dane można pobrać z niezabezpieczonej pamięci podręcznej i uzyskać do nich dostęp za pośrednictwem tradycyjnego DNS. W trybie „wyłączonym” najpierw sprawdzana jest współdzielona pamięć podręczna i w przypadku braku danych żądanie jest wysyłane przez systemowy DNS. Tryb ustawia się poprzez
Eksperyment mający na celu włączenie DoH zostanie przeprowadzony na wszystkich platformach obsługiwanych w Chrome, z wyjątkiem Linuksa i iOS, ze względu na nietrywialny charakter analizowania ustawień usługi rozpoznawania nazw i ograniczania dostępu do systemowych ustawień DNS. Jeżeli po włączeniu DoH wystąpią problemy z przesyłaniem żądań do serwera DoH (na przykład z powodu jego zablokowania, łączności sieciowej lub awarii), przeglądarka automatycznie zwróci systemowe ustawienia DNS.
Celem eksperymentu jest końcowe przetestowanie implementacji DoH i zbadanie wpływu użycia DoH na wydajność. Należy zauważyć, że w rzeczywistości wsparcie DoH było
Przypomnijmy, że DoH może być przydatny w zapobieganiu wyciekom informacji o żądanych nazwach hostów przez serwery DNS dostawców, zwalczaniu ataków MITM i fałszowaniu ruchu DNS (na przykład podczas łączenia się z publicznym Wi-Fi), przeciwdziałaniu blokowaniu w DNS poziomie (DoH nie może zastąpić VPN w zakresie obejścia blokad realizowanych na poziomie DPI) lub do organizacji pracy w przypadku braku możliwości bezpośredniego dostępu do serwerów DNS (np. podczas pracy przez proxy). Jeżeli w normalnej sytuacji żądania DNS kierowane są bezpośrednio do serwerów DNS zdefiniowanych w konfiguracji systemu, to w przypadku DoH żądanie ustalenia adresu IP hosta jest hermetyzowane w ruchu HTTPS i wysyłane do serwera HTTP, gdzie resolwer przetwarza żądań za pośrednictwem interfejsu API sieci Web. Istniejący standard DNSSEC wykorzystuje szyfrowanie jedynie do uwierzytelnienia klienta i serwera, ale nie chroni ruchu przed przechwyceniem i nie gwarantuje poufności żądań.
Źródło: opennet.ru