DoH na ODVR ostře a v Chrome

Od loňského května, kdy jsme oznámili spuštění experimentálního provozu DNS over HTTPS (zkráceně DoH) na našich Otevřených DNSSEC Validujících Resolverech (ODVR) byly na těchto našich resolverech odbaveny miliardy DNS dotazů. Za tu dobu ale jen neplynul čas a DNS, ale ODVR jsme kompletně přesunuli na novou anycast infrastrukturu, oddělenou od infrastruktury pro .CZ doménu. Navíc jsme průběžně optimalizovali provoz jak celého ODVR, tak již zmíněného DoH. Jeho implementace v Knot Resolveru, který naše ODVR pohání, nebyla, hlavně z počátku, úplně stabilní a jsme moc rádi, že nám naši uživatelé pomáhali s jejím laděním. Podíl DoH na celkovém provozu ODVR jen výjimečně přesahuje dvě procenta.

Poslední, ale o to větší změnou, byl upgrade Knot Resolveru na ODVR na verzi 5.2.0, který jsme provedli tento týden. Přinesl zejména nativní podporu DoH (na rozdíl od významně používanějšího DoT, který dosahuje 20 procent z celkového provozu na ODVR, a který má tuto podporu v Knot Resolveru už od verze 1.1.0). DoH běží po upgrade na našem ODVR nově pouze na modernějším a výkonnějším HTTP/2. Kompatibilitu s HTTP/1 vývojáři KNOTa naopak odstranili, protože HTTP/1 je pro efektivní a bezchybný provoz DoH nevhodný. Dále jsme změnili výchozí TLS pro DoH a DoT na verzi 1.2 a vypnuli naopak podporu zastaralým verzím TLS 1.0 a 1.1. Více se o novinkách v Knot Resolveru 5.2.0, zejména těch okolo DoH a DoT, dočtete v blogpostu Tomáše Křížka.

Naší aktivity okolo DoH si již letos na jaře všimli v Googlu. Podpora DoH se totiž postupně dostává a vylepšuje v internetových prohlížečích a my jsme rádi, že se Google rozhodl dát uživatelům možnost zvolit, jakého poskytovatele DoH v prohlížeči Chrome využije. A nezapomněl při tom ani na nás. Stačilo se řídit instrukcemi dle tohoto návodu a vykomunikovat s nimi několik nejasností, upřesnit podmínky provozování na našem webu apod. Možnost zvolit si DoH poskytovatele, kterému důvěřujete (uživatelsky přívětivě) v prohlížeči Chrome pak byla odložena z důvodu pandemie, ve druhé polovině roku se tam ale objevila a my jsme netrpělivě čekali, kdy přijde řada také na nás. Stalo se tak v prohlížeči Chrome 87. Zatím je volba dostupná pouze na Windows a Androidu, s podporou Linuxu se počítá v příštím roce. Dále OS Chrome od 84 provádí tzv. auto-upgrade, tedy pokud máte v OS nastaven DNS resolver na ODVR, prohlížeč Chrome automaticky přejde na DoH. Naše nové DoH na ODVR tak nyní může zkusit každý. Lze nastavit opravdu jednoduše, aniž byste museli opisovat IP adresy apod. Jsme moc zvědaví, jak se v budoucnu změní podíl provozu DoH vůči celku na ODVR, podpora od Google je předzvěstí růstu této varianty šifrovaného DNS provozu.

Autor:

Komentáře (7)

  1. Tudor říká:

    Jste boží Pánové a Dámy

  2. Roman říká:

    Jak to dostanu do androidu? Bez IP adres ani ránu

    • Zdeněk Brůna říká:

      Volba by měla být dostupná v mobilním Chrome od verze 87. Sám ji ale na svém telefonu bohužel ještě nemám dostupnou.

    • Roman říká:

      Což oto, volba tam je. Ale přijímá pouze IP adresu. Když napíšu (dle obrázku) CZ.NIC ODVR , tak hlásí nekorektní adresu.

    • Zdeněk Brůna říká:

      Musí to jít zvolit, nikoliv napsat „CZ.NIC ODVR“. Musíte prostě ještě počkat na update, pokud nechcete používat IP adresu.

  3. Martin Štěpánek říká:

    Já jsem včera Chrome úspěšně aktualizoval (Android 10, Samsung S9+) na verzi 87.0.4280.66 a vše je opravdu tak jak popsané. V Nastavení – Ochrana soukromí – Používat zabezpečené DNS vyberu z drop-down menu odvr.nic.cz a je to.

    • Roman říká:

      😃😃😃 No jo, já koukal na verzi jen do pc. V telefonu jen v86.
      Tím pádem vyřešeno. Moje chyba. 🙏😌

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

This site uses Akismet to reduce spam. Learn how your comment data is processed.