Google om inledningen av etappvis inkludering (DoH, DNS över HTTPS) för Chrome 85-användare som använder Android-plattformen. Läget kommer att aktiveras gradvis och täcker fler och fler användare. Tidigare i Aktivering av DNS-over-HTTPS för datoranvändare har börjat.
DNS-over-HTTPS kommer att aktiveras automatiskt för användare vars inställningar anger DNS-leverantörer som stöder denna teknik (för DNS-over-HTTPS används samma leverantör som för DNS). Om användaren till exempel har DNS 8.8.8.8 specificerat i systeminställningarna, kommer Googles DNS-over-HTTPS-tjänst (“https://dns.google.com/dns-query”) att aktiveras i Chrome om DNS är 1.1.1.1 , sedan DNS-over-HTTPS-tjänsten Cloudflare ("https://cloudflare-dns.com/dns-query") etc.
För att eliminera problem med att lösa företagets intranät, används inte DNS-over-HTTPS när webbläsaranvändning avgörs i centralt hanterade system. DNS-over-HTTPS är också inaktiverat när föräldrakontrollsystem är installerade. Vid fel i driften av DNS-over-HTTPS är det möjligt att återställa inställningarna till vanlig DNS. För att styra driften av DNS-over-HTTPS har särskilda alternativ lagts till i webbläsarinställningarna som låter dig inaktivera DNS-over-HTTPS eller välja en annan leverantör.
Låt oss komma ihåg att DNS-over-HTTPS kan vara användbart för att förhindra läckor av information om de begärda värdnamnen genom leverantörernas DNS-servrar, för att bekämpa MITM-attacker och DNS-trafikspoofing (till exempel vid anslutning till offentligt Wi-Fi), motverka blockering på DNS-nivå (DNS-over-HTTPS kan inte ersätta en VPN genom att kringgå blockering implementerad på DPI-nivå) eller för att organisera arbetet när det är omöjligt att direkt komma åt DNS-servrar (till exempel när du arbetar via en proxy). Om DNS-förfrågningar i en normal situation skickas direkt till DNS-servrar definierade i systemkonfigurationen, då i fallet med DNS-over-HTTPS är begäran om att fastställa värd-IP-adressen inkapslad i HTTPS-trafik och skickas till HTTP-servern, där resolvern behandlar förfrågningar via webb-API. Den befintliga DNSSEC-standarden använder endast kryptering för att autentisera klienten och servern, men skyddar inte trafik från avlyssning och garanterar inte konfidentialitet för förfrågningar.
Källa: opennet.ru