Включение DNS-over-HTTPS в Chrome
Life-Hack [Жизнь-Взлом]/ХакингВ феврале в кодовую базу Chromium без лишней огласки была добавлена недокументированная возможность использования DNS-over-HTTPS (DoH). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
Для использования DoH-сервера компании Cloudflare следует запустить Chrome с опциями:
chrome --enable-features="dns-over-https<DoHTrial" \
--force-fieldtrials="DoHTrial/Group1" \
--force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2Fcloudflare-dns%2Ecom%2Fdns-query/method/POST
В Firefox начиная с конца сентября поддержка DNS-over-HTTPS будет поступательно включаться по умолчанию. Для включения DoH не дожидаясь активации по умолчанию, в about:config следует изменить значение переменной network.trr.mode:
- 0 полностью отключает DoH;
- * 1 - используется DNS или DoH, в зависимости от того, что быстрее;
- * 2 - используется DoH по умолчанию, а DNS как запасной вариант;
- * 3 - используется только DoH;
- * 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.
По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить
"https://dns.google.com/dns-query" ("https://9.9.9.9/dns-query")
"https://dns.quad9.net/dns-query"
"https://doh.opendns.com/dns-query"
"https://cloudflare-dns.com/dns-query" ("https://1.1.1.1/dns-query")
"https://doh.cleanbrowsing.org/doh/family-filter/"
"https://doh.dns.sb/dns-query"