The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Включение DNS-over-HTTPS в Chrome
В феврале в кодовую базу Chromium без лишней огласки была добавлена
недокументированная возможность использования DNS-over-HTTPS (DoH).  Если в
обычной ситуации DNS-запросы напрямую отправляются на определённые в
конфигурации системы DNS-серверы, то в случае DoH запрос на определение
IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер,
на котором резолвер обрабатывает запросы через Web API. Существующий стандарт
DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не
защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для использования DoH-сервера компании  Cloudflare следует запустить Chrome с опциями:


   chrome --enable-features="dns-over-https<DoHTrial" \
    --force-fieldtrials="DoHTrial/Group1" \
    --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2Fcloudflare-dns%2Ecom%2Fdns-query/method/POST



В Firefox начиная с конца сентября поддержка DNS-over-HTTPS будет поступательно
включаться по умолчанию. Для включения DoH не дожидаясь активации по
моболчанию, в about:config следует изменить значение переменной network.trr.mode:

* 0 полностью отключает DoH; 
* 1 - используется DNS или DoH, в зависимости от того, что быстрее; 
* 2 - используется DoH по умолчанию, а DNS как запасной вариант; 
* 3 - используется только DoH; 
* 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. 

По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через
параметр network.trr.uri, например, можно установить
 "https://dns.google.com/dns-query" ("https://9.9.9.9/dns-query") 
 "https://dns.quad9.net/dns-query"  
 "https://doh.opendns.com/dns-query" 
 "https://cloudflare-dns.com/dns-query" ("https://1.1.1.1/dns-query")
 "https://doh.cleanbrowsing.org/doh/family-filter/"
  "https://doh.dns.sb/dns-query"
 
09.09.2019 , Источник: https://bugs.chromium.org/p/chromiu...
Ключи: chrome, firefox, dns, doh, https, crypt, privacy / Лицензия: CC-BY
Раздел:    Корень / Пользователю / Работа с Web и Ftp

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Вячеслав (??), 09:23, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И насколько медленнее выполняются запросы через https?
     
     
  • 2.4, Kuromi (ok), 15:54, 11/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > И насколько медленнее выполняются запросы через https?

    На глаз никакой разницы.

     

  • 1.2, macfaq (?), 15:50, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Откуда такая неочевидная аббревиатура "trr"?
     
     
  • 2.3, Kuromi (ok), 15:53, 11/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что https://wiki.mozilla.org/Trusted_Recursive_Resolver
     

  • 1.5, makrony (?), 17:35, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Повёлся на новостные заголовки насчёт DNS-over-HTTPS как альтернативы VPN и чудесной панацеи против блокировок. Вроде всё заработало (судя по https://1.1.1.1/help), но залоченные ресурсы без VPN как не работали, так и не работают.
     
     
  • 2.7, Аноним (7), 02:14, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что провайдеры режут TCP коннекты.

    У некоторых элементарно обходится iptables/nftables rules, у других никак.

    В любом случае, в наше время DNS запросы лучше шифровать, ибо это огромная лазейка за вашим поведением и желаниями.

    // b.

     
  • 2.10, Аноним (10), 19:57, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Повёлся на новостные заголовки насчёт DNS-over-HTTPS как альтернативы VPN

    Журналист из CNews родил какоу-то дичь про связь DNS c работой DPI и выборочными блокировками хостов, висящих на одном IP, и  эти домыслы растиражировали куча непрофильных СМИ.

    DPI выборочно блокируют хосты в основном массе по ESNI в HTTPS, который в открытом виде передаётся, или по Host  в незашифрованном HTTP. DNS здесь не нужен. Только по DNS может кто и блокирует, но крайне редко и, скорее, как исключение из правил. Теоретически можно сделать DPI, который будет перехватывать DNS-запросы клиентов, смотреть запрещённые хосты, связывать с пользователями и затем блокировать только для них запросы IP. Но это сильно усложняет работу DPI и так пока не внедрено шифрвоание ESNI так никто не заморачиваетя. Да и куча нюансов возникает, таких как необходимость учитывать TTL и смену динамических IP для учета кэширования DNS-ответов на стороне клиента.

     
     
  • 3.11, AFCR (?), 00:06, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    SNI - открыт, ESNI - Encrypted SNI
     

  • 1.6, makrony (?), 17:49, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, кстати, Флибуста (зеркало) грузится чересчур медленно в первый раз. После первого обращения/кэширования, всё в порядке.
     
  • 1.8, Репликант (?), 17:29, 13/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Огнелис на андроиде: поставил я значит ваш трр на троечку и лиса перестала вообще что либо открывать, на двоечке норм. Как лечить?
     
  • 1.9, Аноним (9), 10:05, 14/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://www.opennet.ru/opennews/art.shtml?num=51471
    Здесь значение "5" для firefox - это что?
    Чем отличается от "0"?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру