Android 9.0 Pie в 2018 году представил DNS-over-TLS (DoT), а мобильная ОС теперь поддерживает DNS-over-HTTP/3 (DoH) благодаря обновлению системных компонентов Google Play (Mainline).
DNS-over-HTTP/3, призванный стать новейшим методом обеспечения конфиденциальности DNS-запросов, обладает «рядом улучшений по сравнению с DNS-over-TLS», касающихся производительности и безопасности памяти (модуль Mainline написан на Rust).
Он «быстро набирает обороты» и уже развернут Google Public DNS и Cloudflare Resolver. Chrome для Android добавил поддержку Secure DNS в 2020 году.
Полевые измерения во время первоначального ограниченного развертывания этой функции показывают, что DoH3 значительно превосходит DoT по производительности. Наши исследования показали, что замена DoT на DoH3 сокращает медианное время запроса на 24%, а время 95-го процентиля — на 44%.
DoH теперь поддерживается на Android 11+ и будет использоваться вместо DoT для двух упомянутых выше DNS-серверов. Он был развернут через неуказанное обновление системных компонентов Play, хотя это дополнение, похоже, осталось без упоминания в списке изменений.
Выбор DNS-сервиса, которым вы пользуетесь, не затрагивается этим изменением; будет обновлен только транспорт. В будущем мы планируем поддержать DDR, что позволит нам динамически выбирать правильную конфигурацию для любого сервера. Эта функция должна снизить влияние зашифрованного DNS на производительность.
Google заявляет, что некоторые устройства с Android 10 также могут поддерживать его.
Большинство сетевых подключений начинаются с DNS-запроса. Хотя безопасность транспорта может применяться к самому соединению, этот DNS-запрос традиционно не был конфиденциальным по умолчанию: базовый DNS-протокол — это необработанный UDP без шифрования. Хотя Интернет со временем перешел на TLS, DNS сталкивается с проблемой начальной загрузки. Проверка сертификатов зависит от домена другой стороны, для чего требуется либо сам DNS, либо передача проблемы DHCP (который может контролироваться злоумышленниками). Эта проблема смягчается централизованными резолверами, такими как Google, Cloudflare, OpenDNS и Quad9, которые позволяют устройствам локально настраивать один DNS-резолвер для каждой сети, переопределяя то, что предлагается через DHCP.