Tiếp theo
Danh sách trắng các nhà cung cấp DNS bao gồm
Một điểm khác biệt quan trọng so với việc triển khai DoH trong Firefox, dần dần kích hoạt DoH theo mặc định
Nếu muốn, người dùng có thể bật hoặc tắt DoH bằng cách sử dụng cài đặt “chrome://flags/#dns-over-https”. Ba chế độ hoạt động được hỗ trợ: an toàn, tự động và tắt. Ở chế độ “bảo mật”, máy chủ chỉ được xác định dựa trên các giá trị bảo mật được lưu trong bộ nhớ đệm trước đó (được nhận qua kết nối an toàn) và các yêu cầu qua DoH dự phòng sang DNS thông thường không được áp dụng. Ở chế độ “tự động”, nếu DoH và bộ đệm an toàn không khả dụng, dữ liệu có thể được truy xuất từ bộ đệm không an toàn và được truy cập thông qua DNS truyền thống. Ở chế độ “tắt”, bộ đệm chia sẻ trước tiên sẽ được kiểm tra và nếu không có dữ liệu, yêu cầu sẽ được gửi qua DNS hệ thống. Chế độ được thiết lập thông qua
Thử nghiệm kích hoạt DoH sẽ được thực hiện trên tất cả các nền tảng được hỗ trợ trong Chrome, ngoại trừ Linux và iOS do tính chất không hề đơn giản của cài đặt trình phân giải phân tích cú pháp và hạn chế quyền truy cập vào cài đặt DNS của hệ thống. Nếu sau khi kích hoạt DoH, gặp sự cố khi gửi yêu cầu đến máy chủ DoH (ví dụ: do bị chặn, kết nối mạng hoặc bị lỗi), trình duyệt sẽ tự động trả về cài đặt DNS của hệ thống.
Mục đích của thử nghiệm là kiểm tra lần cuối việc triển khai DoH và nghiên cứu tác động của việc sử dụng DoH đến hiệu suất. Cần lưu ý rằng trên thực tế sự hỗ trợ của DoH là
Chúng ta hãy nhớ lại rằng DoH có thể hữu ích trong việc ngăn chặn rò rỉ thông tin về tên máy chủ được yêu cầu thông qua máy chủ DNS của nhà cung cấp, chống lại các cuộc tấn công MITM và giả mạo lưu lượng DNS (ví dụ: khi kết nối với Wi-Fi công cộng), chống chặn tại DNS cấp độ (DoH không thể thay thế VPN trong lĩnh vực vượt qua chặn được triển khai ở cấp độ DPI) hoặc để tổ chức công việc nếu không thể truy cập trực tiếp vào máy chủ DNS (ví dụ: khi làm việc thông qua proxy). Nếu trong tình huống bình thường, các yêu cầu DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống thì trong trường hợp DoH, yêu cầu xác định địa chỉ IP của máy chủ được gói gọn trong lưu lượng HTTPS và gửi đến máy chủ HTTP, nơi trình phân giải xử lý yêu cầu thông qua API Web. Tiêu chuẩn DNSSEC hiện tại chỉ sử dụng mã hóa để xác thực máy khách và máy chủ nhưng không bảo vệ lưu lượng truy cập khỏi bị chặn và không đảm bảo tính bảo mật của các yêu cầu.
Nguồn: opennet.ru