Följande
Den vita listan över DNS-leverantörer inkluderar
En viktig skillnad från implementeringen av DoH i Firefox, som gradvis aktiverade DoH som standard
Om så önskas kan användaren aktivera eller inaktivera DoH med inställningen "chrome://flags/#dns-over-https". Tre driftslägen stöds: säker, automatisk och avstängd. I "säkert" läge bestäms värdar endast baserat på tidigare cachade säkra värden (mottagna via en säker anslutning) och förfrågningar via DoH; reserv till vanlig DNS tillämpas inte. I det "automatiska" läget, om DoH och den säkra cachen inte är tillgängliga, kan data hämtas från den osäkra cachen och nås via traditionell DNS. I "av"-läge kontrolleras först den delade cachen och om det inte finns några data skickas begäran via systemets DNS. Läget ställs in via
Experimentet för att aktivera DoH kommer att utföras på alla plattformar som stöds i Chrome, med undantag för Linux och iOS på grund av den icke-triviala karaktären av att analysera resolverinställningar och begränsa åtkomsten till systemets DNS-inställningar. Om det, efter att ha aktiverat DoH, det finns problem med att skicka förfrågningar till DoH-servern (till exempel på grund av dess blockering, nätverksanslutning eller fel), kommer webbläsaren automatiskt att returnera systemets DNS-inställningar.
Syftet med experimentet är att sluttesta implementeringen av DoH och studera effekten av att använda DoH på prestanda. Det bör noteras att DoH-stöd faktiskt var
Låt oss komma ihåg att DoH kan vara användbart för att förhindra läckor av information om de begärda värdnamnen genom leverantörernas DNS-servrar, bekämpa MITM-attacker och DNS-trafikförfalskning (till exempel vid anslutning till offentligt Wi-Fi), motverka blockering på DNS nivå (DoH kan inte ersätta en VPN inom området för att kringgå blockering implementerad på DPI-nivå) eller för att organisera arbete om det är omöjligt att direkt komma åt DNS-servrar (till exempel när du arbetar via en proxy). Om DNS-förfrågningar i en normal situation skickas direkt till DNS-servrar definierade i systemkonfigurationen, då i fallet med DoH, är begäran om att fastställa värdens IP-adress inkapslad i HTTPS-trafik och skickas till HTTP-servern, där resolvern bearbetar förfrågningar via webb-API. Den befintliga DNSSEC-standarden använder endast kryptering för att autentisera klienten och servern, men skyddar inte trafik från avlyssning och garanterar inte konfidentialitet för förfrågningar.
Källa: opennet.ru