Google o rozpoczęciu etapowego włączania (DoH, DNS przez HTTPS) dla użytkowników Chrome 85 korzystających z platformy Android. Tryb będzie uruchamiany stopniowo, obejmując coraz większą liczbę użytkowników. Poprzednio w Rozpoczęło się włączanie DNS-over-HTTPS dla użytkowników komputerów stacjonarnych.
DNS-over-HTTPS zostanie automatycznie aktywowany dla użytkowników, których ustawienia określają dostawców DNS obsługujących tę technologię (w przypadku DNS-over-HTTPS używany jest ten sam dostawca, co dla DNS). Na przykład, jeśli użytkownik ma w ustawieniach systemu określony DNS 8.8.8.8, to usługa Google DNS-over-HTTPS („https://dns.google.com/dns-query”) zostanie aktywowana w Chrome, jeśli DNS to 1.1.1.1 , następnie usługa DNS-over-HTTPS Cloudflare („https://cloudflare-dns.com/dns-query”) itp.
Aby wyeliminować problemy z rozwiązywaniem korporacyjnych sieci intranetowych, przy określaniu użycia przeglądarki w systemach zarządzanych centralnie nie stosuje się protokołu DNS-over-HTTPS. Usługa DNS-over-HTTPS jest również wyłączona, gdy zainstalowane są systemy kontroli rodzicielskiej. W przypadku awarii w działaniu DNS-over-HTTPS istnieje możliwość przywrócenia ustawień do zwykłego DNS. Aby kontrolować działanie DNS-over-HTTPS, w ustawieniach przeglądarki dodano specjalne opcje, które pozwalają wyłączyć DNS-over-HTTPS lub wybrać innego dostawcę.
Przypomnijmy, że DNS-over-HTTPS może być przydatny w zapobieganiu wyciekom informacji o żądanych nazwach hostów przez serwery DNS dostawców, zwalczaniu ataków MITM i fałszowaniu ruchu DNS (na przykład podczas łączenia się z publicznym Wi-Fi), przeciwdziałaniu blokowanie na poziomie DNS (DNS-over-HTTPS nie może zastąpić VPN w omijaniu blokowania realizowanego na poziomie DPI) lub do organizowania pracy, gdy nie ma możliwości bezpośredniego dostępu do serwerów DNS (np. podczas pracy przez proxy). Jeżeli w normalnej sytuacji żądania DNS kierowane są bezpośrednio do serwerów DNS zdefiniowanych w konfiguracji systemu, to w przypadku DNS-over-HTTPS żądanie ustalenia adresu IP hosta jest hermetyzowane w ruchu HTTPS i wysyłane do serwera HTTP, gdzie moduł rozpoznawania nazw przetwarza żądania za pośrednictwem interfejsu API sieci Web. Istniejący standard DNSSEC wykorzystuje szyfrowanie jedynie do uwierzytelnienia klienta i serwera, ale nie chroni ruchu przed przechwyceniem i nie gwarantuje poufności żądań.
Źródło: opennet.ru