Google o začatí fázovej inklúzie (DoH, DNS over HTTPS) pre používateľov Chrome 85 používajúcich platformu Android. Režim sa bude aktivovať postupne a bude pokrývať čoraz viac používateľov. Predtým v Povolenie DNS-over-HTTPS pre používateľov stolných počítačov sa začalo.
DNS-over-HTTPS sa automaticky aktivuje pre používateľov, ktorých nastavenia určujú poskytovateľov DNS, ktorí podporujú túto technológiu (pre DNS-over-HTTPS sa používa rovnaký poskytovateľ ako pre DNS). Napríklad, ak má používateľ v systémových nastaveniach špecifikovaný DNS 8.8.8.8, potom sa v prehliadači Chrome aktivuje služba DNS-over-HTTPS spoločnosti Google („https://dns.google.com/dns-query“), ak DNS je 1.1.1.1, potom služba DNS-over-HTTPS Cloudflare („https://cloudflare-dns.com/dns-query“) atď.
Na odstránenie problémov s riešením podnikových intranetových sietí sa pri určovaní používania prehliadača v centrálne riadených systémoch nepoužíva DNS-over-HTTPS. DNS-over-HTTPS je tiež vypnutý, keď sú nainštalované systémy rodičovskej kontroly. V prípade porúch v prevádzke DNS-over-HTTPS je možné vrátiť nastavenia späť na bežné DNS. Na ovládanie fungovania DNS-over-HTTPS boli do nastavení prehliadača pridané špeciálne možnosti, ktoré vám umožňujú vypnúť DNS-over-HTTPS alebo vybrať iného poskytovateľa.
Pripomeňme, že DNS-over-HTTPS môže byť užitočný na zabránenie úniku informácií o požadovaných názvoch hostiteľov cez servery DNS poskytovateľov, na boj proti útokom MITM a spoofingu DNS prevádzky (napríklad pri pripájaní k verejnej sieti Wi-Fi). blokovanie na úrovni DNS (DNS-over-HTTPS nemôže nahradiť VPN tým, že obchádza blokovanie implementované na úrovni DPI) alebo na organizovanie práce, keď nie je možné priamo pristupovať k serverom DNS (napríklad pri práci cez proxy). Ak sa v normálnej situácii požiadavky DNS odosielajú priamo na servery DNS definované v konfigurácii systému, potom v prípade DNS-over-HTTPS je požiadavka na určenie adresy IP hostiteľa zapuzdrená v prenose HTTPS a odoslaná na server HTTP, kde resolver spracováva požiadavky cez Web API. Existujúci štandard DNSSEC používa šifrovanie iba na autentifikáciu klienta a servera, ale nechráni prevádzku pred zachytením a nezaručuje dôvernosť požiadaviek.
Zdroj: opennet.ru