Google sobre o início da inclusão faseada (DoH, DNS sobre HTTPS) para usuários do Chrome 85 que usam a plataforma Android. O modo será ativado gradativamente, abrangendo cada vez mais usuários. Anteriormente em A ativação do DNS sobre HTTPS para usuários de desktop já começou.
O DNS sobre HTTPS será ativado automaticamente para usuários cujas configurações especifiquem provedores de DNS que suportam essa tecnologia (para DNS sobre HTTPS, o mesmo provedor é usado como para DNS). Por exemplo, se o usuário tiver o DNS 8.8.8.8 especificado nas configurações do sistema, o serviço DNS sobre HTTPS do Google (“https://dns.google.com/dns-query”) será ativado no Chrome se o DNS é 1.1.1.1 , então o serviço DNS sobre HTTPS Cloudflare (“https://cloudflare-dns.com/dns-query”), etc.
Para eliminar problemas na resolução de redes de intranet corporativas, o DNS sobre HTTPS não é usado ao determinar o uso do navegador em sistemas gerenciados centralmente. O DNS sobre HTTPS também é desativado quando sistemas de controle parental estão instalados. Em caso de falhas no funcionamento do DNS sobre HTTPS, é possível reverter as configurações para DNS normal. Para controlar a operação do DNS sobre HTTPS, opções especiais foram adicionadas às configurações do navegador que permitem desativar o DNS sobre HTTPS ou selecionar um provedor diferente.
Lembremos que DNS-over-HTTPS pode ser útil para prevenir vazamentos de informações sobre os nomes de host solicitados através dos servidores DNS dos provedores, combater ataques MITM e falsificação de tráfego DNS (por exemplo, ao conectar-se a uma rede Wi-Fi pública), combater bloqueio no nível DNS (DNS sobre HTTPS não pode substituir uma VPN para contornar o bloqueio implementado no nível DPI) ou para organizar o trabalho quando é impossível acessar diretamente os servidores DNS (por exemplo, ao trabalhar através de um proxy). Se em uma situação normal as solicitações DNS são enviadas diretamente para servidores DNS definidos na configuração do sistema, então no caso de DNS sobre HTTPS a solicitação para determinar o endereço IP do host é encapsulada no tráfego HTTPS e enviada ao servidor HTTP, onde o resolvedor processa solicitações por meio da API da Web. O padrão DNSSEC existente utiliza criptografia apenas para autenticar o cliente e o servidor, mas não protege o tráfego contra interceptação e não garante a confidencialidade das solicitações.
Fonte: opennet.ru