Seguindo
A lista branca de provedores de DNS inclui
Uma diferença importante em relação à implementação do DoH no Firefox, que gradualmente habilitou o DoH por padrão
Se desejar, o usuário pode ativar ou desativar o DoH usando a configuração “chrome://flags/#dns-over-https”. São suportados três modos de operação: seguro, automático e desligado. No modo “seguro”, os hosts são determinados apenas com base em valores seguros previamente armazenados em cache (recebidos por meio de uma conexão segura) e solicitações via DoH; o fallback para DNS normal não é aplicado. No modo “automático”, se o DoH e o cache seguro não estiverem disponíveis, os dados podem ser recuperados do cache inseguro e acessados através do DNS tradicional. No modo “off”, o cache compartilhado é verificado primeiro e caso não haja dados a solicitação é enviada através do DNS do sistema. O modo é definido através
O experimento para habilitar o DoH será realizado em todas as plataformas suportadas no Chrome, com exceção do Linux e iOS, devido à natureza não trivial da análise das configurações do resolvedor e da restrição do acesso às configurações de DNS do sistema. Se, após habilitar o DoH, houver problemas no envio de solicitações ao servidor DoH (por exemplo, devido ao seu bloqueio, conectividade de rede ou falha), o navegador retornará automaticamente as configurações de DNS do sistema.
O objetivo do experimento é testar a implementação do DoH e estudar o impacto do uso do DoH no desempenho. Deve-se notar que, na verdade, o apoio do DoH foi
Lembremos que o DoH pode ser útil para prevenir vazamentos de informações sobre os nomes de host solicitados através dos servidores DNS dos provedores, combater ataques MITM e falsificação de tráfego DNS (por exemplo, ao conectar-se a redes Wi-Fi públicas), combater o bloqueio no DNS nível (o DoH não pode substituir uma VPN na área de contornar o bloqueio implementado no nível DPI) ou para organizar o trabalho se for impossível acessar diretamente os servidores DNS (por exemplo, ao trabalhar através de um proxy). Se em uma situação normal as solicitações DNS são enviadas diretamente aos servidores DNS definidos na configuração do sistema, então no caso do DoH, a solicitação para determinar o endereço IP do host é encapsulada no tráfego HTTPS e enviada ao servidor HTTP, onde o resolvedor processa solicitações por meio da API da Web. O padrão DNSSEC existente utiliza criptografia apenas para autenticar o cliente e o servidor, mas não protege o tráfego contra interceptação e não garante a confidencialidade das solicitações.
Fonte: opennet.ru