maybe_elf 28 июн 2020 в 12:04

Comcast стал первым провайдером DNS-over-HTTPS для Firefox в США. Пользователи недовольны

2 мин

17K

DNS*FirefoxБраузерыИнформационная безопасность*

Комментарии 11

Grey4ip 28 июн 2020 в 12:33

Буквально сегодня смотрел список DOH серверов: github.com/curl/curl/wiki/DNS-over-HTTPS
Comcast там отмечен комментарием «Experimental».

AtachiShadow 28 июн 2020 в 14:14

Так первым или третьим? Первым так-то был CF и именно на пользователях США и тестировался их DNS и после теста он очевидно стал первым DoH провайдером DNS для пользователей США.

easyman 28 июн 2020 в 15:03

МТС в Санкт-Петербурге начал в случае несуществующего домена направлять на свою страницу с рекламой. Пришлось заодно лишить их и знания, какие домены я посещаю. Благо, это легко настраивается в Андроид 9 и новее.
https://developers.google.com/speed/public-dns/docs/using#android

rvs2016 4 июл 2020 в 01:18

Благо, это легко настраивается в Андроид 9 и новее.
https://developers.google.com/speed/public-dns/docs/using#android\

Описание тут странное в 3-м пункте:

Go to Settings > Network & Internet > Advanced > Private DNS.
Select Private DNS provider hostname.
Enter dns.google as the hostname of the DNS provider.
Click Save

В FreeBSD я IP-адреса моих серверов имён вношу для сервера bind в файл /etc/resolv.conf

А в инструкции на указанной выше странице мне говорят указывать Андроиду не IP-адреса моих серверов имён, а говорят писать туда какой-то dns.google.Что это за прикол и как это поможет Андроиду начать использовать мои сервера имён — я не знаю. Поэтому и не пишу этот dns.google туда.

Как мна заставить андроидного резолвера резолвить всё через мои сервера имён?

easyman 4 июл 2020 в 02:05

А откуда у Вас будет валидный сертификат для ip адреса?
= я не настоящий сварщик, но =
kb.isc.org/docs/aa-01386

rvs2016 5 июл 2020 в 03:50

У меня настройки такие:

На одной FreeBSD устанавливаю bind. Ну допустим, что это машина с адресом 192.168.0.1.
На другой машине с FreeBSD (когда я её адрес на ней настраиваю не через DHCP, а руками), то в файле /etc/resolv.conf пишу адрес первой машины (192.168.0.1) и благодаря этому вторая машина нормально резолвит мне всё, что мне нужно.
С сертификатами в этой настройке я не сталкиваюсь.

Как мне таким же (или похожим) способом на Андроиде указать IP-адреса нужных мне серверов имён?

symbix 28 июн 2020 в 23:20

В прошлом провайдер активно выступал против внедрения таких мер безопасности.

Не можешь победить — возглавь.

Tangeman 29 июн 2020 в 02:36

Очень интересно как изменится траффик и скорость — всё же DoH это ощутимый оверхед по обоим параметрам, если учесть сертификаты, шифрование и всё такое — оно всё уже явно не влезет в размер одного UDP пакета, плюс добавится задержка на установление соединения.

Вполне вероятно что собственно пользователи это не особо заметят (разве что чуть-чуть), но вот провайдеры, и особенно DoH операторы...

TimsTims 29 июн 2020 в 09:48

Да ладно вам. Установить соединение, расшифровать TLS — так уже умеют делать давно, и очень успешно справляются с огромными нагрузками. Пример: cdn серверы, серверы потокового вещания (YouTube, twitch). Разница с DoH лишь в том, кто отработает микрозапрос дальше. Плюс dns запросов проходит не так много(не забывайте, что они кешируются), в отличии от тех же подгрузок картинок и другой статики, которая тоже за HTTPS.

Finesse 29 июн 2020 в 11:23

К тому же, достаточно один раз сделать запрос к DNS-серверу, чтобы установить SSL-соединение, и ходить по сайтам, делая минимальные запросы

GamePad64 29 июн 2020 в 11:01

Если использовать QUIC+TLS 1.3, то у нас будет UDP + 0-RTT Handshake. Другими словами, это будет несколько UDP-пакетов на запрос.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий