компанія Google про початок поетапного включення (DoH, DNS over HTTPS) для користувачів Chrome 85, які використовують платформу Android. Режим буде включатись поступово, охоплюючи все більше користувачів. Раніше в почалося включення DNS-over-HTTPS для користувачів настільних систем.
DNS-over-HTTPS буде автоматично активовано для користувачів, в налаштуваннях яких вказані DNS-провайдери, що підтримують цю технологію (для DNS-over-HTTPS використовується той самий провайдер, який застосовувався для DNS). Наприклад, якщо у користувача в системних налаштуваннях вказано DNS 8.8.8.8, то в Chrome буде активовано DNS-over-HTTPS сервіс Google ("https://dns.google.com/dns-query"), якщо DNS - 1.1.1.1 , то DNS-over-HTTPS сервіс Cloudflare ("https://cloudflare-dns.com/dns-query") і т.п.
Щоб виключити проблеми з резолвінгом корпоративних інтранет мереж DNS-over-HTTPS не застосовується щодо використання браузера в централізовано керованих системах. DNS-over-HTTPS також відключається за наявності систем батьківського контролю. У разі збоїв у роботі DNS-over-HTTPS передбачена можливість відкату налаштувань на звичайний DNS. Для керування роботою DNS-over-HTTPS до налаштувань браузера додані спеціальні опції, що дозволяють відключити DNS-over-HTTPS або вибрати іншого провайдера.
Нагадаємо, що DNS-over-HTTPS може виявитися корисним для виключення витоків відомостей про імена хостів через DNS-сервери провайдерів, боротьби з MITM-атаками і заміною DNS-трафіку (наприклад, при підключенні до публічних Wi-Fi), протистояння блокувань на рівні DNS (DNS-over-HTTPS не може замінити VPN в області обходу блокувань, реалізованих на рівні DPI) або для організації роботи у разі неможливості прямого звернення до DNS-серверів (наприклад, під час роботи через проксі). Якщо у звичайній ситуації DNS-запити безпосередньо відправляються на визначені в конфігурації системи DNS-сервери, то у разі DNS-over-HTTPS запит на визначення IP-адреси хоста інкапсулюється в трафік HTTPS і відправляється на HTTP-сервер, на якому резолвер обробляє запити через Web API. Існуючий стандарт DNSSEC використовує шифрування лише для автентифікації клієнта та сервера, але не захищає трафік від перехоплення та не гарантує конфіденційність запитів.
Джерело: opennet.ru