Comments 11
Жаль, что там HTTP все же участвует в передаче данных. Это же занимает в разы больше трафика, чем просто DNS поверх SSL.
Интересно, как оно будет работать со split dns в интранетах организаций.
Никак, DOH используется только если выбранный DNS его поддерживает. Если вы ходите внутри сети на свой сервер за адресами — вас это не заденет. Если же вы во внешнем мире идёте на сервер гугла (или прочих) за адресом, то он будет использоваться, но дальше запрос точно также уйдёт рекурсивно на ваш сервер классическим вариантом.
Ну а если вы переопределили используемый DNS в локальном приложении на гугловский, но ожидаете получать ответы от своего локального — то вы ССЗБ.

Почему DNS over HTTPS, а не over TLS?
Я DoT могу легко свой поднять на любом VPS разместив Nginx перед DNS резолвером, а тут что делать?
И overhead опять же большой, намного больше?

Он не будет фильтроваться провайдерами, так как порт 443 не заблокируешь.
DoT могу легко свой поднять на любом VPS разместив Nginx перед DNS резолвером,

Ну дак и 443 можно. Зайдите по https 1.1.1.1
И все страдаем потому, что в Nginx нет поддержки прокси TLS в TCP/UDP?
если провайдер DNS по умолчанию поддерживает DoH.

А как это определяется? Берётся IP DNS-сервера из /etc/resolv.conf и проверяется не отвечает ли на этом же IP на 443 порту DoH? И какого провайдера будет использовать Chrome когда обнаружит (в 99% случаев), что на этом IP никакого DoH нет?


Просто без этих подробностей описание "новой фичи" звучит примерно так: если юзер уже использует Cloudflare то фиг с ним, а вот DNS-запросы всех остальных юзеров мы теперь будем перенаправлять на сервера гугла, дабы слежка была ещё более эффективной.

А как это определяется?

цитата из оригинальной статьи:
Chrome maintains a list of DNS providers known to support DNS-over-HTTPS. Chrome uses this list to match the user’s current DNS service provider with that provider’s DNS-over-HTTPS service, if the provider offers one.

т.е. есть видимо браузер хранит у себя список известных гуглу IPшников, типа 1.1.1.1 и 8.8.8.8.
А как можно настройки как в статье включить? Я бы выставил там CloudFlare или Google, системные настройки трогать не хочу.
Only those users with full accounts are able to leave comments. Log in, please.