Google объявил об общедоступности DNS поверх HTTPS

Google объявил об общедоступности своего сервиса на основе протокола DNS поверх HTTPS (DNS-over-HTTPS, DoH).

Это результат трехлетнего труда, в процессе которого корпорация дорабатывала и совершенствовала DoH. Этот шаг, по мнению Google, поможет усилить конфиденциальность пользователей, снизить риск атаки «Человек посередине» (man-in-the-middle), а также сделать интернет более быстрым. «Сегодня мы рады объявить об общедоступности нашего сервиса по стандарту DoH.

Теперь пользователи смогут использовать DoH в домене dns.google с теми же адресами (например, 8.8.8.8), что и обычный DNS-сервис», — пишет корпорация в блоге.

Позицию Google по этому вопросу разделяют и другие крупные интернет-игроки — Mozilla и Cloudflare. Эти компании также стараются создать альтернативные пути отправки трафика по UDP и TCP.

Например, в апреле Cloudflare запустила собственный DNS, призванный обеспечить пользователям конфиденциальность, ускорить интернет-соединение и ограничить сбор провайдерами истории просмотров. Адрес DNS-сервера крайне прост — 1.1.1.1.

Google Public DNS, запущенный более восьми лет назад по IP-адресам 8.8.8.8 и 8.8.4.4, является крупнейшей в мире рекурсивной общедоступной службой преобразования доменных имен. Большинство пользователей делают выбор в пользу Google Public DNS вместо использования стандартных DNS служб своих провайдеров и операторов.

anti-malware.ru

Есть статья по теме: Там описываются два клиента для DNS по HTTPS:
1. Сloudflared - программа, разработанная самой cloudflare, заточена под их сервера.
2. DNSCrypt Proxy 2 - тоже умеет DNS по HTTPS.

Я уже писал, у меня старенький нетбук, на нём debian сервер, стоял там Unbound,
как DNS-сервер для локальной сети, но Unbound не могёт DNS по HTTPS, только TLS .
Потом поставил AdGuardHome -интересная штука,
он тоже работает, как локальный DNS-server, он умеет и DNS по HTTPS. Две недели он у меня работал, обращаясь DNS-over-HTTPS к двум серверам cloudflare: Всё отлично работает, ответы приходят быстро и чётко, никаких проблем.
Потом прочитал эту новость, убрал сервера cloudflare и прописал гугловские: всё работает тоже отлично -запросы идут на 443 порт, всё чотко там работает, никаких замечаний.
Вчера поставил Сloudflared - тоже сутки шпарит на ура - так что сервера работают нормально.
Щас поставлю DNSCrypt Proxy 2.

Добавлено спустя 1 час 5 минут 37 секунд:

А-а-а-а, не работает cloudflare!!!
Это ж надо такое совпадение, поставил DNSCrypt Proxy 2, настраиваю на -ничего нне работает, чта за [однако], оказывается - упал DNS-сервер cloudflare.
Прям мистика.
Предыдущий пост писал, он работал.

Добавлено спустя 7 минут 42 секунды:

Через две минуты уже работает и UDP 1.1.1.1 и https. Но это канешно ненормал.
Значит вы были правы, сервис сбоит. Вернусь ка я на Unbound с корневыми серверами.

в роутере нет настроек DNS,только яндекс.dns(неизменяемый). и еще предлагает два платных сервиса,
в ОС настроил 1.1.1.1 и 8.8.8.8 - даже на ноунейм захожу без VPN

Система видовз 7 х64 корпоративная, Мазила Квантум ЕСР 60.7.2 х64.
Всё прекрасно работает... Пока никаких сбоев...

Только как это помогает обходу блокировки РКН?

Никак не помогает... Всё тоже, что и было... никаких плюсов и минусов.)
По сравнению если просто вписать днс в IP4 в свойствах сетевой карты..

Но обход ркн возникает только при использовании прокси.. , плюс днс от гугл.

Смысл всех стараний? Вроде станицы быстрее открываются чуть чуть.)

vladguly писал(а):

Смысл всех стараний?

твой провайдер не сможет определять и отслеживать какие днс записи ты запрашиваешь. Это вопрос конфиденциальности, а не обходя блокировок.
HTTPS например тоже не предназначен для обхода блокировок, а только для того чтобы провайдер и другие узлы не могли узнать о чем ты пишешь на сайтах и что читаешь.

mmaxcad писал(а):

vladguly писал(а): Смысл всех стараний? твой провайдер не сможет определять и отслеживать какие днс записи ты запрашиваешь. Это вопрос конфиденциальности, а не обходя блокировок. HTTPS например тоже не предназначен для обхода блокировок, а только для того чтобы провайдер и другие узлы не могли узнать о чем ты пишешь на сайтах и что читаешь.

Днс стоят от гугл уже давно... Провайдер и так их не может просмотреть.)

Я хакерством не занимаюсь.. никого не преследую, ни от кого не прячусь... Пишу и читаю всё тоже, что и все.)
Наверно это интересно тем кто занимается незаконной деятельностью...
Обход ркн необходим так как в открытом доступе нет ничего интересного... Спасает только обход... а если его не будет, то придётся учится жить без компа... Хотя от него и так толку нет.) Ну если только для работы...

vladguly писал(а):

Днс стоят от гугл уже давно... Провайдер и так их не может просмотреть.)

стандартный системный механизм получения днс не шифрует запросы. Провайдер может видеть какие адреса ты запрашиваешь даже у других провайдеров. И более того, твой провайдер может подменять адреса, получаемые тобой от гугла.

Тут выше об этом не раз писали.

DNS-over-HTTPS предназначен для того, чтобы провайдеры утратили возможность контроля этой части трафика.

mmaxcad

Спасибо..

В Мозилле эта штука периодически отваливается. Надо перезапускать браузер, чтобы снова заработало.

mmaxcad писал(а):

В Мозилле эта штука периодически отваливается. Надо перезапускать браузер, чтобы снова заработало.

Если интересно, попробуйте отдельную программу. Вот DNSCrypt-proxy
лучше всех работает по https. Есть версия под Windows и Windows 64. Прямо на рабочую машину с Windows поставьте, там есть инструкция. А запросы системы перевести на неё, на 127.0.0.1. Если всё будет нормально работать, значит дело в мозиле. Сейчас и Cloudflare и Google https хорошо работают. Cloudflare были сбои второго числа, но это не связано именно с https, тем более в програме можно указать несколькоо серверов одновременно, и гугл и 1.1.1.1, и будет надёжно от сбоев.

Господа, с кем вы общались в этой теме под ником lyushiK, не является таковым: уже год этот пользователь пользуется моим аккаунтом, взломав пароль и применив мой ник. Случайно заметил...

Aox писал(а):

Вся парадоксальность вопроса заключается в том, что если историю трафика мусолят иностранные сец.службы, то это нормально, а если свои, то это плохо. Попахивает "абортом сознательности".

Дело в том, что иностранные спецслужбы за тобой не придут.
А свои слишком жёсткие и карают за мыслепреступления. Например любое твое высказывание могут признать экстремистским. То-есть ты высказался до того как его признали экстремистским, но сидеть будешь.
Потому своих и боимся.