The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Включение DNS-over-HTTPS в Chrome
В феврале в кодовую базу Chromium без лишней огласки была добавлена
недокументированная возможность использования DNS-over-HTTPS (DoH).  Если в
обычной ситуации DNS-запросы напрямую отправляются на определённые в
конфигурации системы DNS-серверы, то в случае DoH запрос на определение
IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер,
на котором резолвер обрабатывает запросы через Web API. Существующий стандарт
DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не
защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для использования DoH-сервера компании  Cloudflare следует запустить Chrome с опциями:


   chrome --enable-features="dns-over-https<DoHTrial" \
    --force-fieldtrials="DoHTrial/Group1" \
    --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2Fcloudflare-dns%2Ecom%2Fdns-query/method/POST



В Firefox начиная с конца сентября поддержка DNS-over-HTTPS будет поступательно
включаться по умолчанию. Для включения DoH не дожидаясь активации по
умолчанию, в about:config следует изменить значение переменной network.trr.mode:

* 0 полностью отключает DoH; 
* 1 - используется DNS или DoH, в зависимости от того, что быстрее; 
* 2 - используется DoH по умолчанию, а DNS как запасной вариант; 
* 3 - используется только DoH; 
* 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. 

По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через
параметр network.trr.uri, например, можно установить
 "https://dns.google.com/dns-query" ("https://9.9.9.9/dns-query") 
 "https://dns.quad9.net/dns-query"  
 "https://doh.opendns.com/dns-query" 
 "https://cloudflare-dns.com/dns-query" ("https://1.1.1.1/dns-query")
 "https://doh.cleanbrowsing.org/doh/family-filter/"
  "https://doh.dns.sb/dns-query"
 
09.09.2019 , Источник: https://bugs.chromium.org/p/chromiu...
Ключи: chrome, firefox, dns, doh, https, crypt, privacy / Лицензия: CC-BY
Раздел:    Корень / Пользователю / Работа с Web и Ftp

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Вячеслав (??), 09:23, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И насколько медленнее выполняются запросы через https?
     
     
  • 2.4, Kuromi (ok), 15:54, 11/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > И насколько медленнее выполняются запросы через https?

    На глаз никакой разницы.

     

  • 1.2, macfaq (?), 15:50, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Откуда такая неочевидная аббревиатура "trr"?
     
     
  • 2.3, Kuromi (ok), 15:53, 11/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что https://wiki.mozilla.org/Trusted_Recursive_Resolver
     

  • 1.5, makrony (?), 17:35, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Повёлся на новостные заголовки насчёт DNS-over-HTTPS как альтернативы VPN и чудесной панацеи против блокировок. Вроде всё заработало (судя по https://1.1.1.1/help), но залоченные ресурсы без VPN как не работали, так и не работают.
     
     
  • 2.7, Аноним (7), 02:14, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что провайдеры режут TCP коннекты.

    У некоторых элементарно обходится iptables/nftables rules, у других никак.

    В любом случае, в наше время DNS запросы лучше шифровать, ибо это огромная лазейка за вашим поведением и желаниями.

    // b.

     
  • 2.10, Аноним (10), 19:57, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Повёлся на новостные заголовки насчёт DNS-over-HTTPS как альтернативы VPN

    Журналист из CNews родил какоу-то дичь про связь DNS c работой DPI и выборочными блокировками хостов, висящих на одном IP, и  эти домыслы растиражировали куча непрофильных СМИ.

    DPI выборочно блокируют хосты в основном массе по ESNI в HTTPS, который в открытом виде передаётся, или по Host  в незашифрованном HTTP. DNS здесь не нужен. Только по DNS может кто и блокирует, но крайне редко и, скорее, как исключение из правил. Теоретически можно сделать DPI, который будет перехватывать DNS-запросы клиентов, смотреть запрещённые хосты, связывать с пользователями и затем блокировать только для них запросы IP. Но это сильно усложняет работу DPI и так пока не внедрено шифрвоание ESNI так никто не заморачиваетя. Да и куча нюансов возникает, таких как необходимость учитывать TTL и смену динамических IP для учета кэширования DNS-ответов на стороне клиента.

     
     
  • 3.11, AFCR (?), 00:06, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    SNI - открыт, ESNI - Encrypted SNI
     
  • 3.17, playnet (ok), 16:13, 16/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "теоретически можно смотреть в днс запрос"
    практически - ростелеком например так и делает. И вместо timeout приходит левый айпи (подмена), где делается редирект на warning.rt.ru
    Подмена - потому что днс вшит 8.8.8.8, он такого не ответит. Никакой (E)SNI не поможет.
     
  • 2.12, Коньвпальто (?), 08:20, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не все так тривиально, но к примеру довольно не сложный к пониманию стек - dnscrypt + privoxy + tor. Бонусом пойдет возможность подрезать рекламу и прочая контентная фильтрация. Естественно все это поднимается в сторонке, что конечно накладывает некоторые неприятности, но зато появляется отличная возможность разрулить проблему на всех устройствах дома, и насладиться, к примеру, более-менее нормальными контентными фильтрами на андроидном планшете и домашнем компе с одинаковым результатом.
     
     
  • 3.15, cr33p (ok), 13:59, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    как ты в привокси порежешь ssl рекламу?
     
     
  • 4.16, Коньвпальто (?), 20:15, 25/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    По хост-паттерну, ессно это не панацея, но для меня это побочная плюшка, не особо пользуюсь, лень следить за правилами, что-то отрезается с наруленными изначально. Главное что надо, куда надо и когда надо - завернуть.
     
  • 4.27, DNSoverHTTPS (?), 11:27, 23/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Есть костыль https://github.com/wheever/ProxHTTPSProxyMII
     

  • 1.6, makrony (?), 17:49, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, кстати, Флибуста (зеркало) грузится чересчур медленно в первый раз. После первого обращения/кэширования, всё в порядке.
     
  • 1.8, Репликант (?), 17:29, 13/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Огнелис на андроиде: поставил я значит ваш трр на троечку и лиса перестала вообще что либо открывать, на двоечке норм. Как лечить?
     
     
  • 2.13, flowerpower (?), 14:43, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    3 - Only. Only use TRR. Never use the native (This mode also requires the bootstrapAddress pref to be set)
    https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.trr.mode
     

  • 1.9, Аноним (9), 10:05, 14/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://www.opennet.ru/opennews/art.shtml?num=51471
    Здесь значение "5" для firefox - это что?
    Чем отличается от "0"?
     
     
  • 2.14, Дон Ягон (ok), 19:03, 19/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Здесь значение "5" для firefox - это что?
    > Чем отличается от "0"?

    Баян же.

    "
        0 - Off (default). use standard native resolving only (don't use TRR at all)
        1 - Reserved (used to be Race mode)
        2 - First. Use TRR first, and only if the name resolve fails use the native resolver as a fallback.
        3 - Only. Only use TRR. Never use the native (This mode also requires the bootstrapAddress pref to be set)
        4 - Reserved (used to be Shadow mode)
        5 - Off by choice. This is the same as 0 but marks it as done by choice and not done by default.
    "

    Ну т.е. если дефолт (0) вдруг станет DoH вместо системного резолвера, то в случае 5 DoH будет отключён всегда, вне зависимости от дефолтов. Ну, если мозилла ещё что-то не отчебучит.

    ( https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.trr.mode )

     

  • 1.18, kuksha12 (ok), 00:34, 27/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    НЕ РАБОТАЕТ.
    Google Chrome Версия 77.0.3865.120 (Официальная сборка), (32 бит) на Windows 7 32 бит
    В ярлык после пробела вставил указанную строку, получив в итоге:
    "C:\Program Files\Google\Chrome\Application\chrome.exe" --enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2Fcloudflare-dns%2Ecom%2Fdns-query/method/POST
    Зашёл на  https://1.1.1.1/help и вижу это:
    Connected to 1.1.1.1 No
    Using DNS over HTTPS (DoH) No
     
     
  • 2.19, kuksha12 (ok), 21:31, 28/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Мой Хром наконец обновился до 78 версии. Толку никакого:
    Connected to 1.1.1.1    Yes
    Using DNS over HTTPS (DoH)    No
    Но, о 78-ой официально сказано, что dns-over-https пока не включена. Посему не понимаю как здешние комментаторы умудрились наблюдать работу dns-over-https...
     
     
  • 3.20, Аноним (20), 11:56, 29/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прочли заметку?
     
     
  • 4.21, kuksha2012 (?), 14:56, 29/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы, эта... пальцем ткните, а вопросы вопрошайте.
     
  • 2.22, Аноним (-), 01:03, 01/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ungoogled-Chromium-78.0.3904.70-Win32 - не работает DoH (хотя даже опция в chrome://flags есть)
     

  • 1.23, Админбек (?), 18:43, 09/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Приветствую а как это включить на андройдном хроме? В флагах включаю а нифига.
     
  • 1.24, Сергей Олейников (?), 09:04, 10/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обновление: из-за технической проблемы, возникшей в последнюю минуту, мы перенесли этот эксперимент на Chrome 79.
     
  • 1.25, Сергей (??), 15:37, 10/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Здравия, я дико извиняюсь, очень хочется включить эту функцию на своем браузере, но образования не хватает это сделать по представленной информации. Очень прошу - подробно пошагово для чайника на мвло напишите. Заранее благодарю.
     
  • 1.28, Петров (?), 09:21, 29/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В chrome 80 тоже не работает через флаги
    Прочитал что будет работать только если поставить в DNS 1.1.1.1 или другой поддерживающий DoH резолвер. Руками указать резолвер не дают получается, гениально бесполезное решение для 80% пользователей.
     
  • 1.29, Александр (??), 13:19, 02/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вкдючить
     
  • 1.30, ф (?), 20:17, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    это полная засада!

    теперь опять школьный чебурнет отвалится, а он в школе необходим...  
    прокуратура не спит, а проверяет есть ли в школе "система контенной фильтрации" - придут и будут искать какую-нибудь порнуху опять...

    :)))

     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру