maybe_elf May 20 2020 at 14:55

В Chrome 83 начали развертывать DNS-over-HTTPS

2 min

17K

Information Security*Google ChromeNetwork technologies*DNS*

+10

Comments 13

ivanovdev May 20 2020 at 15:51

А поддержку DoT когда запилить хотят?

IGHOR May 20 2020 at 15:55

Жаль, что там HTTP все же участвует в передаче данных. Это же занимает в разы больше трафика, чем просто DNS поверх SSL.

artemlight May 20 2020 at 16:20

Интересно, как оно будет работать со split dns в интранетах организаций.

DaemonGloom May 21 2020 at 07:11

Никак, DOH используется только если выбранный DNS его поддерживает. Если вы ходите внутри сети на свой сервер за адресами — вас это не заденет. Если же вы во внешнем мире идёте на сервер гугла (или прочих) за адресом, то он будет использоваться, но дальше запрос точно также уйдёт рекурсивно на ваш сервер классическим вариантом.
Ну а если вы переопределили используемый DNS в локальном приложении на гугловский, но ожидаете получать ответы от своего локального — то вы ССЗБ.

litos May 20 2020 at 16:44

Почему DNS over HTTPS, а не over TLS?
Я DoT могу легко свой поднять на любом VPS разместив Nginx перед DNS резолвером, а тут что делать?
И overhead опять же большой, намного больше?

Balling May 20 2020 at 17:05

Он не будет фильтроваться провайдерами, так как порт 443 не заблокируешь.

DoT могу легко свой поднять на любом VPS разместив Nginx перед DNS резолвером,

Ну дак и 443 можно. Зайдите по https 1.1.1.1

IGHOR May 20 2020 at 17:46

И все страдаем потому, что в Nginx нет поддержки прокси TLS в TCP/UDP?

powerman May 21 2020 at 02:07

если провайдер DNS по умолчанию поддерживает DoH.

А как это определяется? Берётся IP DNS-сервера из /etc/resolv.conf и проверяется не отвечает ли на этом же IP на 443 порту DoH? И какого провайдера будет использовать Chrome когда обнаружит (в 99% случаев), что на этом IP никакого DoH нет?

Просто без этих подробностей описание "новой фичи" звучит примерно так: если юзер уже использует Cloudflare то фиг с ним, а вот DNS-запросы всех остальных юзеров мы теперь будем перенаправлять на сервера гугла, дабы слежка была ещё более эффективной.

CoolCmd May 21 2020 at 13:31

А как это определяется?

цитата из оригинальной статьи:

Chrome maintains a list of DNS providers known to support DNS-over-HTTPS. Chrome uses this list to match the user’s current DNS service provider with that provider’s DNS-over-HTTPS service, if the provider offers one.

т.е. есть видимо браузер хранит у себя список известных гуглу IPшников, типа 1.1.1.1 и 8.8.8.8.

nebularia May 21 2020 at 05:54

А как можно настройки как в статье включить? Я бы выставил там CloudFlare или Google, системные настройки трогать не хочу.

nebularia May 21 2020 at 06:00

Хмм, тут пишут, что оно пока только в Canary. Похоже на правду…

Vort123 Oct 14 2022 at 18:47

От этой настройки ведь будет зависеть активация Encrypted SNI?
Знает ли кто-нибудь, как заставить браузер использовать ESNI, если DoH установлен для всей системы как прокси на 127.0.0.1 (dnscrypt-proxy)?
Ведь использовать DoH только для браузера — это полумера.

Balling Mar 17 2023 at 07:39

Уже не нужно. ECH (ESNI уже кончился) в Chrome чеперь всегда не требует зашифрованный интернет.