В превью Windows 11 появился DNS-over-HTTPS

[MarazmDed]

Вот интересно дальнейшее развитие событий? Придет РосКомПозор и скажет, а ну ка, Мелкософт, выпиливайте DoH, а не то заблокируем. И что произойдет? Подчинятся или будет как с Дуровым? Массовое самоубийство рунета, а потом признание собственной тупости?

[qw1]

РосКомНадзору нет дела до DNS, все провайдеры блокируют по списку ip-адресов, а DNS используют лишь для оптимизации, чтобы на заведомо запрещённые домены выдавать адрес-заглушку. То есть, с точки зрения блокировок, ничего не изменится.

[foxyrus]

И все таки он пришел за DNS

https://habr.com/ru/news/t/577234/

[bgBrother]

И что произойдет? Подчинятся или будет как с Дуровым? Массовое самоубийство рунета, а потом признание собственной тупости?

Ни то, ни другое. Для того, чтобы произошло что-то из этого нужно, чтобы Microsoft сделала DoH включённым по умолчанию. А они этого, я уверен, не сделают. И в статье об этом тоже ни слова. А если бы и сделали, то скорее как в Chrome — в приоритете провайдерские DNS-серверы, если они поддерживают DoH/DoT.

В результате РКН может тупо игнорировать эту опцию в Windows. Она мало что изменит.

[rorc]

Когда Mozilla внедряла одной из первых, было очень много критики. Теперь внедрили в Windows. Скоро узнаем, будут ли двойные стандарты. Возможно как с оперой, официально vpn не работает в определенных странах.

[bgBrother]

Когда Mozilla внедряла одной из первых, было очень много критики

Критика была в основном от провайдеров, продающих персональные данные пользователей, которых уже давно нужно было выпнуть с рынка, я считаю. Кроме этого была критика от администраторов, неспособных к настройке групповых политик, и «диванных» экспертов, считающих, что вирус может использовать DoH для координации, при этом забывая, что вирусы уже 100 лет как используют Твиттер и другие публичные площадки, а значит принципиально ничего не изменилось бы.

[qw1]

Мне интересно следующее. Безопасность TLS строится либо на сертификате, установленном у пользователя (т.е. pinned certs), либо на сертификате доменного имени, подписанного доверенным центром.

Но у DoH нет ни того, ни другого: сертификат загружать в систему не требуется, а dns-имени у сервера тоже нет, только IP-адрес (типа 1.1.1.1)

Как соединение в DoH-сервером защищено от MitM?

[ColdPhoenix]

На микротике сертификат можно загрузить и включить его проверку.

Так что сам протокол позволяет.

Я думаю дело в том что в системе есть корневые нужные сертификаты.(насколько помню сероификаты могут быть на ip адреса тоже...вроде)

[qw1]

Ну например, если я хочу подключить 1.1.1.1/9.9.9.9, где мне взять сертификат?
А cloudflare/Quad9 понимают, что я буду использовать сертификат для пиннинга, то есть они у себя не должны его часто обновлять, а то всем пользователям тоже придётся.

[ColdPhoenix]

DoH вроде рекомендуют по имени подключать, это не решает проблемы первого запроса правда(он должен отрезовить это имя будет по обычному протоколу).
Но тут уже сертификат спасет от подмены.

у меня на микротике именно по имени, а не по IP.
Сертификат гугла действовать будет еще 5479 дней.(или это всего..).
Причем выпущен он не самим гуглом, а от GlobalSign Root CA — R2, то есть обновление сертификата возможно.

[DaemonGloom]

5479 — это полный срок действия. Будьте готовы в конце этого года заменить сертификат на новый.

[ColdPhoenix]

спасибо, глянул подробнее, на другой вкладке уже пишет остаток:
141d осталось.

[qw1]

насколько помню сероификаты могут быть на ip адреса тоже… вроде

Вроде нет.

[DaemonGloom]

Можете зайти на 9.9.9.9 и посмотреть, на какие имена и ip-адреса он выдан (поле SAN). Аналогично и для 1.1.1.1 сделано.
Проверил, кстати, корневой сертификат, через который проверяется 1.1.1.1 — он закончится Nov/10/2031 05:00:00.
С 8.8.8.8 всё чуть печальнее сейчас, 15 лет их корневого сертификата истекают Dec/15/2021 13:00:00.

[Viknet]

Сейчас почти везде используются предварительно настроенные шаблоны, в которых прописаны наборы IP-адресов и домены (и, возможно, сертификаты). При указании IP-адреса в настройке DNS-over-HTTPS он просто ищется в имеющихся шаблонах.
В оригинальном посте чуть понятнее рассказано: https://techcommunity.microsoft.com/t5/networking-blog/windows-insiders-gain-new-dns-over-https-controls/ba-p/2494644

[Black_Spirit]

Наконец то!

На смартфоне не хотел рутовать девайс и в настройках хрома уже год как прописан финский сервер blahdns.com. Больше половины рекламы срезает.

[vtb_k]

Зачем рутовать, если с 9 андроида в настройках есть возможность указать. Жене и родителям уже давно поставил adguard DoT

[Black_Spirit]

Не очень доверяю adguard и, кроме того, надо их программу всегда включённой держать и она пропускает весь трафик через себя. Не хочется мне траффик пускать через кого-либо.
А если без программы и прописать их сервер DNS то еще ничего. Но если прописать blahdns, то больше срезает. Но периодически DNS сервера то у blahdns то у adguard становятся недоступными. Поэтому переключаюсь между ними.

[vtb_k]

Не надо никаких программ вообще, только использовать их DoT

[Black_Spirit]

Да, да, извиняюсь, я потом дописал в посту. Так я и делаю. А сначала их программу поставил и удивился размеру зонда. Потом просто сервер прописал в настройках андроида и все более-менее. Но падало соединение с adguard и я нашел blahdns и потом заметил, что рекламы еще меньше стало.