Слідом за
У білий список DNS-провайдерів включено
Важливою відмінністю від впровадження DoH Firefox, в якому поетапне включення за замовчуванням DoH
За бажанням користувач зможе увімкнути або вимкнути DoH за допомогою налаштування «chrome://flags/#dns-over-https». Підтримується три режими роботи "secure", "automatic" та "off". У режимі "secure" хости визначаються тільки на основі раніше прокешованих безпечних значень (отриманих через захищене з'єднання) та запитів через DoH, відкат на звичайний DNS не застосовується. У режимі «automatic» якщо DoH та захищений кеш недоступні, допускається отримання даних з небезпечного кешу та звернення через традиційний DNS. У режимі off спочатку перевіряється загальний кеш і якщо даних немає, запит надсилається через системний DNS. Режим задається через
Експеримент із включення DoH буде проведений на всіх підтримуваних у Chrome платформах, за винятком Linux та iOS через нетривіальність аналізу налаштувань резолвера та обмеження доступу до системних налаштувань DNS. Якщо після включення DoH виникнуть збої з надсиланням запитів на сервер DoH (наприклад, через його блокування, порушення мережевої зв'язності або виходу з ладу), браузер автоматично поверне системні налаштування DNS.
Метою проведення експерименту є фінальна перевірка реалізації DoH та вивчення впливу застосування DoH на продуктивність. Слід зазначити, що фактично підтримка DoH була
Нагадаємо, що DoH може виявитися корисним для виключення витоків відомостей про запитовані імена хостів через DNS-сервери провайдерів, боротьби з MITM-атаками та заміною DNS-трафіку (наприклад, при підключенні до публічних Wi-Fi), протистояння блокуванням на рівні DNS (DoH не може замінити VPN в області обходу блокувань, реалізованих на рівні DPI або для організації роботи у разі неможливості прямого звернення до DNS-серверів (наприклад, при роботі через проксі). Якщо у звичайній ситуації DNS-запити безпосередньо відправляються на визначені в конфігурації системи DNS-сервери, то у разі DoH запит на визначення IP-адреси хоста інкапсулюється в трафік HTTPS і відправляється на сервер HTTP, на якому резолвер обробляє запити через Web API. Існуючий стандарт DNSSEC використовує шифрування лише для автентифікації клієнта та сервера, але не захищає трафік від перехоплення та не гарантує конфіденційність запитів.
Джерело: opennet.ru