LINUX.ORG.RU

DNS over HTTPS (DoH) в Firefox 60.

 , , ,


2

3

В Firefox 60 - завезли экспериментальную поддержку DNS over HTTPS (DoH).

В about:config выставляем значение к network.trr.mode - по умолчанию не работает 0, если значение 1 - DNS и DoH, 2 - используется DoH, будет использоваться DNS, как запасной вариант, 3 - только DoH и наконец 4 - DoH и DNS работают параллельно.

Ещё нужно прописать DoH-сервер используя network.trr.uri - например https://mozilla.cloudflare-dns.com/dns-query или https://dns.google.com/experimental

Дак вот, если выставить значение 3, когда должен работать только DoH - ни одна страница не загружается. При этом, адрес сервера прописан. Как оно работает у вас?

★★★★★

Последнее исправление: th3m3 (всего исправлений: 1)

DoH

gomer_simpson.jpg

Deleted
()

Вот когда это будет завозиться повсеместно, тогда и поговорим, а сейчас страдай вместе со всеми. :3

r3lgar ★★★★★
()

точно также

imul ★★★★★
()

Вопрос на засыпку:
вот ты указываешь DNS-сервер по ссылке. А её резолвить кто-то должен? Или я что-то не понимаю? Разве DNS даже over https не должен быть по ip адресу? Или не?

Qwentor ★★★★★
()

У меня аналогично, не работает.

xdimquax ★★★★
()
Ответ на: комментарий от th3m3

А если

 ping dns.google.com
PING dns.google.com (74.125.232.164) 56(84) bytes of data.
64 bytes from 74.125.232.164 (74.125.232.164): icmp_seq=1 ttl=128 time=6.70 ms
64 bytes from 74.125.232.164 (74.125.232.164): icmp_seq=2 ttl=128 time=7.30 ms
64 bytes from 74.125.232.164 (74.125.232.164): icmp_seq=3 ttl=128 time=8.28 ms
64 bytes from 74.125.232.164 (74.125.232.164): icmp_seq=4 ttl=128 time=7.42 ms


И вставлять https://74.125.232.164/experimental

Сработает?

Сам сейчас проверить не смогу.

Qwentor ★★★★★
()
Ответ на: комментарий от Qwentor

Сработает?

Я так уже пробовал. Не работает.

th3m3 ★★★★★
() автор топика
4 января 2019 г.

Что толку, прятать dns? Https при запросе сертификата домен не шифрует.

anonymous
()

Это потому, что вы рукожопы, как и подавляющее большинство регистрантов.

Нужно ещё правильный ***.trr.bootstrapAddress адрес указать. Попробуйте догадаться какой именно.

А вообще, уже не только DoH работает, но и SNI. Его нужно отдельно включать.

anonymous
()
Ответ на: комментарий от r3lgar

Мне казалось лет 5 назад в хромиуме, это мозилловцы слоупочат как обычно. У меня тоже 400 кстати, но я думаю это MITM как обычно (за 5+ лет этой практики уже можно было привыкнуть).

anonymous
()
Ответ на: комментарий от anonymous

Ну вот пофиксят это в TLS 1.3 и совместно с этой технологией будет чуть лучше privacy

vertexua ★★★★★
()
Ответ на: комментарий от xdimquax

eSNI?

Да, encrypted SNI.

Работает у админов локалхоста, но не на большинстве сайтов,

Многие сайты пользуются Cloudflare reverse proxy, и для них eSNI работает.
Но пока не во всей глуши есть PoP-ы Cloudflare, конечно.

Насколько я помню, в настоящее время DoT/DoH + eSNI - это самый высокий уровень защиты приватности в контексте DNS.
Но я не копал эту тему очень глубоко (не полностью «повёрнут» на приватности, да и просто лень). Тем более, что апстрим провайдер всё равно знает IP-адрес сервера, с которым ведётся обмен. А это уже немало.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.