Комментарии 13
Ну а если вы переопределили используемый DNS в локальном приложении на гугловский, но ожидаете получать ответы от своего локального — то вы ССЗБ.
Почему DNS over HTTPS, а не over TLS?
Я DoT могу легко свой поднять на любом VPS разместив Nginx перед DNS резолвером, а тут что делать?
И overhead опять же большой, намного больше?
если провайдер DNS по умолчанию поддерживает DoH.
А как это определяется? Берётся IP DNS-сервера из /etc/resolv.conf и проверяется не отвечает ли на этом же IP на 443 порту DoH? И какого провайдера будет использовать Chrome когда обнаружит (в 99% случаев), что на этом IP никакого DoH нет?
Просто без этих подробностей описание "новой фичи" звучит примерно так: если юзер уже использует Cloudflare то фиг с ним, а вот DNS-запросы всех остальных юзеров мы теперь будем перенаправлять на сервера гугла, дабы слежка была ещё более эффективной.
А как это определяется?
цитата из оригинальной статьи:
Chrome maintains a list of DNS providers known to support DNS-over-HTTPS. Chrome uses this list to match the user’s current DNS service provider with that provider’s DNS-over-HTTPS service, if the provider offers one.
т.е. есть видимо браузер хранит у себя список известных гуглу IPшников, типа 1.1.1.1 и 8.8.8.8.
От этой настройки ведь будет зависеть активация Encrypted SNI?
Знает ли кто-нибудь, как заставить браузер использовать ESNI, если DoH установлен для всей системы как прокси на 127.0.0.1 (dnscrypt-proxy)?
Ведь использовать DoH только для браузера — это полумера.
В Chrome 83 начали развертывать DNS-over-HTTPS