В феврале в кодовую базу Chromium без лишней огласки была [[https://chromium.googlesource.com/chromium/src.git/+/786929a... добавлена]] недокументированная возможность использования DNS-over-HTTPS (DoH). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.Для использования DoH-сервера компании Cloudflare следует запустить Chrome с опциями:
chrome --enable-features="dns-over-https<DoHTrial" \
--force-fieldtrials="DoHTrial/Group1" \
--force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2Fcloudflare-dns%2Ecom%2Fdns-query/method/POSTВ Firefox начиная с конца сентября поддержка DNS-over-HTTPS будет поступательно
[[https://www.opennet.dev/opennews/art.shtml?num=51439 включаться]] по умолчанию. Для включения DoH не дожидаясь активации по моболчанию, в about:config следует изменить значение переменной network.trr.mode:* 0 полностью отключает DoH;
* 1 - используется DNS или DoH, в зависимости от того, что быстрее;
* 2 - используется DoH по умолчанию, а DNS как запасной вариант;
* 3 - используется только DoH;
* 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/experimental" или "https://9.9.9.9/dns-query".
URL: https://bugs.chromium.org/p/chromium/issues/detail?id=799753
Обсуждается: http://www.opennet.dev/tips/info/3120.shtml
И насколько медленнее выполняются запросы через https?
> И насколько медленнее выполняются запросы через https?На глаз никакой разницы.
Откуда такая неочевидная аббревиатура "trr"?
Потому что https://wiki.mozilla.org/Trusted_Recursive_Resolver
Повёлся на новостные заголовки насчёт DNS-over-HTTPS как альтернативы VPN и чудесной панацеи против блокировок. Вроде всё заработало (судя по https://1.1.1.1/help), но залоченные ресурсы без VPN как не работали, так и не работают.
Потому что провайдеры режут TCP коннекты.У некоторых элементарно обходится iptables/nftables rules, у других никак.
В любом случае, в наше время DNS запросы лучше шифровать, ибо это огромная лазейка за вашим поведением и желаниями.
// b.
> Повёлся на новостные заголовки насчёт DNS-over-HTTPS как альтернативы VPNЖурналист из CNews родил какоу-то дичь про связь DNS c работой DPI и выборочными блокировками хостов, висящих на одном IP, и эти домыслы растиражировали куча непрофильных СМИ.
DPI выборочно блокируют хосты в основном массе по ESNI в HTTPS, который в открытом виде передаётся, или по Host в незашифрованном HTTP. DNS здесь не нужен. Только по DNS может кто и блокирует, но крайне редко и, скорее, как исключение из правил. Теоретически можно сделать DPI, который будет перехватывать DNS-запросы клиентов, смотреть запрещённые хосты, связывать с пользователями и затем блокировать только для них запросы IP. Но это сильно усложняет работу DPI и так пока не внедрено шифрвоание ESNI так никто не заморачиваетя. Да и куча нюансов возникает, таких как необходимость учитывать TTL и смену динамических IP для учета кэширования DNS-ответов на стороне клиента.
SNI - открыт, ESNI - Encrypted SNI
"теоретически можно смотреть в днс запрос"
практически - ростелеком например так и делает. И вместо timeout приходит левый айпи (подмена), где делается редирект на warning.rt.ru
Подмена - потому что днс вшит 8.8.8.8, он такого не ответит. Никакой (E)SNI не поможет.
Не все так тривиально, но к примеру довольно не сложный к пониманию стек - dnscrypt + privoxy + tor. Бонусом пойдет возможность подрезать рекламу и прочая контентная фильтрация. Естественно все это поднимается в сторонке, что конечно накладывает некоторые неприятности, но зато появляется отличная возможность разрулить проблему на всех устройствах дома, и насладиться, к примеру, более-менее нормальными контентными фильтрами на андроидном планшете и домашнем компе с одинаковым результатом.
как ты в привокси порежешь ssl рекламу?
По хост-паттерну, ессно это не панацея, но для меня это побочная плюшка, не особо пользуюсь, лень следить за правилами, что-то отрезается с наруленными изначально. Главное что надо, куда надо и когда надо - завернуть.
Есть костыль https://github.com/wheever/ProxHTTPSProxyMII
Да, кстати, Флибуста (зеркало) грузится чересчур медленно в первый раз. После первого обращения/кэширования, всё в порядке.
Огнелис на андроиде: поставил я значит ваш трр на троечку и лиса перестала вообще что либо открывать, на двоечке норм. Как лечить?
3 - Only. Only use TRR. Never use the native (This mode also requires the bootstrapAddress pref to be set)
https://wiki.mozilla.org/Trusted_Recursive_Resolver#network....
https://www.opennet.dev/opennews/art.shtml?num=51471
Здесь значение "5" для firefox - это что?
Чем отличается от "0"?
> Здесь значение "5" для firefox - это что?
> Чем отличается от "0"?Баян же.
"
0 - Off (default). use standard native resolving only (don't use TRR at all)
1 - Reserved (used to be Race mode)
2 - First. Use TRR first, and only if the name resolve fails use the native resolver as a fallback.
3 - Only. Only use TRR. Never use the native (This mode also requires the bootstrapAddress pref to be set)
4 - Reserved (used to be Shadow mode)
5 - Off by choice. This is the same as 0 but marks it as done by choice and not done by default.
"Ну т.е. если дефолт (0) вдруг станет DoH вместо системного резолвера, то в случае 5 DoH будет отключён всегда, вне зависимости от дефолтов. Ну, если мозилла ещё что-то не отчебучит.
( https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.... )
НЕ РАБОТАЕТ.
Google Chrome Версия 77.0.3865.120 (Официальная сборка), (32 бит) на Windows 7 32 бит
В ярлык после пробела вставил указанную строку, получив в итоге:
"C:\Program Files\Google\Chrome\Application\chrome.exe" --enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2Fcloudflare-dns%2Ecom%2Fdns-query/method/POST
Зашёл на https://1.1.1.1/help и вижу это:
Connected to 1.1.1.1 No
Using DNS over HTTPS (DoH) No
Мой Хром наконец обновился до 78 версии. Толку никакого:
Connected to 1.1.1.1 Yes
Using DNS over HTTPS (DoH) No
Но, о 78-ой официально сказано, что dns-over-https пока не включена. Посему не понимаю как здешние комментаторы умудрились наблюдать работу dns-over-https...
Прочли заметку?
Вы, эта... пальцем ткните, а вопросы вопрошайте.
Ungoogled-Chromium-78.0.3904.70-Win32 - не работает DoH (хотя даже опция в chrome://flags есть)
Приветствую а как это включить на андройдном хроме? В флагах включаю а нифига.
Обновление: из-за технической проблемы, возникшей в последнюю минуту, мы перенесли этот эксперимент на Chrome 79.
Здравия, я дико извиняюсь, очень хочется включить эту функцию на своем браузере, но образования не хватает это сделать по представленной информации. Очень прошу - подробно пошагово для чайника на мвло напишите. Заранее благодарю.
В chrome 80 тоже не работает через флаги
Прочитал что будет работать только если поставить в DNS 1.1.1.1 или другой поддерживающий DoH резолвер. Руками указать резолвер не дают получается, гениально бесполезное решение для 80% пользователей.
вкдючить
это полная засада!теперь опять школьный чебурнет отвалится, а он в школе необходим...
прокуратура не спит, а проверяет есть ли в школе "система контенной фильтрации" - придут и будут искать какую-нибудь порнуху опять...:)))