В Chrome 83 начали развертывать DNS-over-HTTPS

    image

    Google в публичном релизе версии Chrome 83 объявила о начале поддержки защищенного протокола DNS-over-HTTPS (DoH). Браузер будет по умолчанию использовать DoH для провайдера DNS, установленного в систему, при условии, что он поддерживает этот протокол.

    При этом системные настройки DNS не изменятся. Сохранится фильтрация взрослого контента или вредоносного ПО на уровне DNS.

    Если во время поиска будут обнаруживаться проблемы, то Chrome переключится на незашифрованный DNS. При этом браузер не будет использовать DoH, если в системах Windows активен родительский контроль или определенные корпоративные политики.

    Представлены две политики для включения DNS-over-HTTPS в управляемых средах.

    DnsOverHttpsMode – Настроить режим использования протокола DNS поверх HTTPS (Chrome 78 и выше):

    • off = отключить DNS поверх HTTPS;
    • automatic = включить DNS поверх HTTPS с возможностью отката к незащищенным запросам;
    • secure = включить DNS поверх HTTPS без возможности отката к незащищенным запросам.

    DnsOverHttpsTemplates – Указать шаблон URI нужного преобразователя DNS поверх HTTPS (Chrome 80 и выше). Чтобы указать несколько преобразователей DNS поверх HTTPS, нужно разделить соответствующие шаблоны URI пробелами.

    Это правило должно быть настроено, если для правила DnsOverHttpsMode задано значение «secure». Если для правила DnsOverHttpsMode выбрано значение «automatic», то будут использоваться указанные шаблоны URI. При отсутствии настроек будут использованы заданные в программе сопоставления.

    Если в шаблоне URI есть переменная dns, то для отправки запросов преобразователю будет использован метод GET, иначе будет использоваться метод POST.

    На отдельных устройствах внедрение DNS-over-HTTPS может занять от нескольких недель до нескольких месяцев.

    Можно активировать функцию принудительно:

    • загрузить внутреннюю страницу chrome://flags/#dns-over-https;
    • установить для параметра Secure DNS lookups значение Enabled;
    • перезапустить Chrome.

    При этом может потребоваться изменить DNS-серверы на устройстве, чтобы они поддерживали DoH. Протокол поддерживают Google Public DNS, Cloudflare, Quad9 и Comss.one DNS.

    Пока же обновленной страницы настроек безопасности в браузере Chrome 83 Stable нет. С обновлением там появится новая опция «Использовать безопасный DNS-сервер». Когда функция станет доступна в браузере, ее можно будет отключить там же. image Со временем Google добавит поддержку различных DNS-провайдеров.
    DoH появится в Chrome OS, Windows и Mac OS, а затем в версиях Chrome для Linux и Android.

    На днях Microsoft объявила, что поддержка DNS-over-HTTPS (DoH) теперь доступна в Windows 10 Insider Preview Build 19628 в Fast Ring. Пока она не включена по умолчанию.

    В феврале Mozilla уже развернула DNS-over-HTTPS по умолчанию для всех пользователей Firefox из США.

    Google, в отличие от Mozilla, заявляла, что не будет автоматически менять провайдера DNS, а вместо этого будет обновлять протокол разрешения DNS только в Chrome, если провайдер DNS по умолчанию поддерживает DoH.
    См. также:

    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 11

      0
      А поддержку DoT когда запилить хотят?
        0
        Жаль, что там HTTP все же участвует в передаче данных. Это же занимает в разы больше трафика, чем просто DNS поверх SSL.
          0
          Интересно, как оно будет работать со split dns в интранетах организаций.
            0
            Никак, DOH используется только если выбранный DNS его поддерживает. Если вы ходите внутри сети на свой сервер за адресами — вас это не заденет. Если же вы во внешнем мире идёте на сервер гугла (или прочих) за адресом, то он будет использоваться, но дальше запрос точно также уйдёт рекурсивно на ваш сервер классическим вариантом.
            Ну а если вы переопределили используемый DNS в локальном приложении на гугловский, но ожидаете получать ответы от своего локального — то вы ССЗБ.
            0

            Почему DNS over HTTPS, а не over TLS?
            Я DoT могу легко свой поднять на любом VPS разместив Nginx перед DNS резолвером, а тут что делать?
            И overhead опять же большой, намного больше?

              +1
              Он не будет фильтроваться провайдерами, так как порт 443 не заблокируешь.
              DoT могу легко свой поднять на любом VPS разместив Nginx перед DNS резолвером,

              Ну дак и 443 можно. Зайдите по https 1.1.1.1
                +1
                И все страдаем потому, что в Nginx нет поддержки прокси TLS в TCP/UDP?
                0
                если провайдер DNS по умолчанию поддерживает DoH.

                А как это определяется? Берётся IP DNS-сервера из /etc/resolv.conf и проверяется не отвечает ли на этом же IP на 443 порту DoH? И какого провайдера будет использовать Chrome когда обнаружит (в 99% случаев), что на этом IP никакого DoH нет?


                Просто без этих подробностей описание "новой фичи" звучит примерно так: если юзер уже использует Cloudflare то фиг с ним, а вот DNS-запросы всех остальных юзеров мы теперь будем перенаправлять на сервера гугла, дабы слежка была ещё более эффективной.

                  0
                  А как это определяется?

                  цитата из оригинальной статьи:
                  Chrome maintains a list of DNS providers known to support DNS-over-HTTPS. Chrome uses this list to match the user’s current DNS service provider with that provider’s DNS-over-HTTPS service, if the provider offers one.

                  т.е. есть видимо браузер хранит у себя список известных гуглу IPшников, типа 1.1.1.1 и 8.8.8.8.
                  0
                  А как можно настройки как в статье включить? Я бы выставил там CloudFlare или Google, системные настройки трогать не хочу.
                    0
                    Хмм, тут пишут, что оно пока только в Canary. Похоже на правду…

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое