Компания Google сообщила (https://android-developers.googleblog.com/2018/04/dns-over-t... о добавлении в тестовые сборки Android P Developer Preview, используемые для тестирования функциональности следующего значительного релиза мобильной платформы Android, поддержки технологии "DNS over TLS (https://tools.ietf.org/html/rfc7858)", позволяющей защитить канал связи с DNS-сервером. Таким образом, платформа Android станет первой популярной ОС в которой будет доступа из коробки функция шифрования трафика DNS, что может существенно подтолкнуть продвижение технологии "DNS over TLS" и в других системах.

"DNS over TLS" отличается от "DNS over HTTPS"  применением штатного протокола DNS (обычно используется сетевой порт 853), завёрнутого в шифрованный канал связи, организованный при помощи протокола TLS (https://ru.wikipedia.org/wiki/TLS) с проверкой валидности хоста через  TLS/SSL-сертификаты, заверенные удостоверяющим центром  (в "DNS over HTTPS" резолвер обрабатывает запросы через Web API). Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

"DNS over TLS" и  "DNS over HTTPS" позволяют исключить утечки сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, защищают от MITM-атак по подмене DNS-трафика и помогают противостоять блокировкам на уровне DNS.   Для тестирования предлагается подборка (https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Test+Serv... поддерживаемых сообществом серверов "DNS over TLS", в том числе данный протокол теперь поддерживают серверы 9.9.9.9 (Quad9) и 1.1.1.1 (Cloudflare).

В настройках Android (Private DNS в секции Network & internet ) предоставлена возможность автоматического включения  "DNS over TLS" для текущего DNS-сервера, если он поддерживает данный протокол, а также опция для  указания сервера вручную.  Для разработчиков приложений в API добавлена новая функция LinkProperties.isPrivateDnsActive(), позволяющая проверить применяется ли в текущем окружении защищённый канал связи для DNS. Сборки  Android P Developer Preview с поддержкой DNS over TLS" можно получить в рамках программы бета-тестирования,  доступной (https://developer.android.com/preview/download.html) для пользователей устройств Pixel, Pixel XL Pixel 2 и Pixel 2 XL.

URL: https://android-developers.googleblog.com/2018/04/dns-over-t...
Новость: https://www.opennet.me/opennews/art.shtml?num=48443

• В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 13:05 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Crazy Alex, 13:16 , 14-Апр-18
    • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 13:23 , 14-Апр-18
    • В следующем выпуске Android появится поддержка DNS over TLS,use, 13:39 , 14-Апр-18
      • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 13:46 , 14-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,macfaq, 18:40 , 14-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,свободнеечемдругие, 19:34 , 14-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,поледанныхотсутств, 09:11 , 15-Апр-18
            • В следующем выпуске Android появится поддержка DNS over TLS,свободнеечемдругие, 00:18 , 17-Апр-18
              • В следующем выпуске Android появится поддержка DNS over TLS,лемакс2, 08:08 , 18-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,YetAnotherOnanym, 21:13 , 14-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Crazy Alex, 01:04 , 15-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 10:56 , 15-Апр-18
            • В следующем выпуске Android появится поддержка DNS over TLS,YetAnotherOnanym, 17:33 , 15-Апр-18
              • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 08:37 , 16-Апр-18
                • В следующем выпуске Android появится поддержка DNS over TLS,YetAnotherOnanym, 12:02 , 16-Апр-18
                  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 21:46 , 16-Апр-18
                    • В следующем выпуске Android появится поддержка DNS over TLS,лемакс2, 08:10 , 18-Апр-18
      • В следующем выпуске Android появится поддержка DNS over TLS,AnonPlus, 16:34 , 14-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,Онаним, 21:53 , 14-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 03:02 , 15-Апр-18
            • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 08:35 , 15-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 11:00 , 15-Апр-18
      • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 08:03 , 15-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 08:36 , 15-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 15:26 , 15-Апр-18
            • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 08:40 , 16-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,use, 22:21 , 15-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 01:02 , 16-Апр-18
            • В следующем выпуске Android появится поддержка DNS over TLS,iPony, 14:37 , 18-Апр-18
      • В следующем выпуске Android появится поддержка DNS over TLS,dmm11, 11:53 , 15-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 13:22 , 15-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 08:41 , 16-Апр-18
      • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 22:47 , 15-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 21:44 , 16-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 13:40 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 08:39 , 16-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,D, 13:40 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Anonymous Coward, 13:59 , 14-Апр-18
    • В следующем выпуске Android появится поддержка DNS over TLS,anomymous, 14:51 , 14-Апр-18
      • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 15:06 , 14-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,anonymous, 15:25 , 14-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,AnonPlus, 16:35 , 14-Апр-18
            • В следующем выпуске Android появится поддержка DNS over TLS,й, 23:26 , 14-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,тов. майор, 16:57 , 14-Апр-18
    • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 15:58 , 14-Апр-18
      • В следующем выпуске Android появится поддержка DNS over TLS,тов. майор, 16:58 , 14-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 19:31 , 14-Апр-18
      • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 00:02 , 15-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,тов. майор, 01:31 , 15-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 05:56 , 15-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,Хряк, 14:02 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Ан, 14:08 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 21:49 , 16-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,xm, 14:17 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 14:32 , 14-Апр-18
    • В следующем выпуске Android появится поддержка DNS over TLS,xm, 14:45 , 14-Апр-18
      • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 01:28 , 15-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 06:02 , 15-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,., 12:35 , 15-Апр-18
            • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 14:56 , 15-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 20:35 , 15-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 21:53 , 16-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 13:37 , 15-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 21:56 , 16-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,xm, 16:18 , 15-Апр-18
          • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 21:56 , 16-Апр-18
            • В следующем выпуске Android появится поддержка DNS over TLS,xm, 00:58 , 17-Апр-18
              • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 11:15 , 17-Апр-18
                • В следующем выпуске Android появится поддержка DNS over TLS,xm, 13:09 , 17-Апр-18
        • В следующем выпуске Android появится поддержка DNS over TLS,xm, 17:38 , 15-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 21:50 , 16-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 16:09 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,AnonPlus, 16:38 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,пох, 17:02 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 21:57 , 16-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,YetAnotherOnanym, 16:13 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,AnonPlus, 16:40 , 14-Апр-18
    • В следующем выпуске Android появится поддержка DNS over TLS,гугль, 17:00 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,vitalif, 18:39 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 19:32 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 08:38 , 16-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 19:00 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 19:34 , 14-Апр-18
    • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 02:21 , 15-Апр-18
      • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 09:36 , 15-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 23:21 , 14-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 17:16 , 16-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 08:07 , 15-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 22:00 , 16-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,xm, 01:03 , 17-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 16:09 , 15-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,YetAnotherOnanym, 15:11 , 16-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 13:59 , 16-Апр-18
  • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 22:03 , 16-Апр-18
    • В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 18:43 , 19-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,gaga, 18:03 , 18-Апр-18
• В следующем выпуске Android появится поддержка DNS over TLS,Аноним, 13:22 , 20-Апр-18

>доступной для пользователей устройств Pixel, Pixel XL Pixel 2 и Pixel 2 XL.

Владельцы Ляофонов и вообще всех старых (то есть старше года) моделей пролетают, как фанера над Парижем.

Кто-то и на компе на предустановленной винде сидит, и что?

Не вижу связи.

Я могу обновить винду, а андроид - нет.

И кто тебе виноват? Покупай китайфаоны с официальным lineageOS.

> И кто тебе виноват? Покупай китайфаоны с официальным lineageOS.

Их не так много, к сожалению. Ещё хуже, если нужна, например, съёмная батарея.

> Покупай китайфаоны с официальным lineageOS.

Где такой купить? Крупные магазины в Москве такими не торгуют.

Торгуют. вот к примеру mvideo, ozon продают oneplus 3(t)/5(t), xiaomi mi5s(plus).

Лжёте либо вы, либо продавцы Мвидео. В тех. описаниях этих телефонов чётко указано, что это Андроид и его версия.

> Лжёте либо вы, либо продавцы Мвидео. В тех. описаниях этих телефонов чётко
> указано, что это Андроид и его версия.

что вам мешает зайти на сайт линейки и за 10 минут накатить новый андроид? у меня leeco le max 2 и то 8.1.0 стабильная стоит уже.

А кто может дать гарантию, что там правильный линьяж, а не подпиленный Ва Сяном, который напихал туда овердофига закладок для последующего слива всего, что там найдётся интересного? И к тому же залочивший загрузчик так, что туда вообще ничего залить нельзя?

xpda кто-то отменил?

> А кто может дать гарантию, что там правильный линьяж

Какую ещё тебе гарантию? Правильных прошивок ни один производитель не шьёт. Покупаешь тело, разблокируешь и ставишь правильный с оф. сайта.

> правильный с оф. сайта

Всё понятно.

А тебе откуда надо? Ну скачай васяносборку с 4пда: если повезёт, она может оказаться даже лучше китайской и с меньшим числом троянов. Собрать самостоятельно не предлагаю, не осилишь.

Перепиливальщики андроеда с оф.сайта линейки, равно как их медноголовые или репликантные коллеги, заслуживают доверия ровно столько же, сколько зондопихатели из гугла или прошивкособиратели из Вынь Сунь в Чай Индастриал парк или безымянный умелец с 4пда. А именно - ноль.

У тебя выход один - не пользуйся смартфонами

> У тебя выход один - не пользуйся смартфонами

еще надеть шапочку из фольги. 100% защита

Если дрова есть - можешь. А если производитель забил на дрова для новой винды - опаньки...

Та же история и с китайфонами. Для моего есть LineageOS с OTA-обновлениями. Плюс телефон поддерживает Treble, так что не проблема поставить на него AOSP и получить Android 8, а потом и 9.

И как это чудо называется? Я думал если хочешь нормально обновляться и без проблем ставить всякие Линьяжи - нужно Nexus/Pixel без вариантов, а это очень дорого даже БУ.

Дешевле, чем инвестировать своё время в портирование LineageOS. Если устройство не поддерживается - даже с опытом добавить поддержку и отладить баги займёт несколько дней.

Если Вы за несколько дней зарабатываете на Пиксель - рад за Вас. Большинству людей проще пару дней на отладку потратить.

> И как это чудо называется? Я думал если хочешь нормально обновляться и
> без проблем ставить всякие Линьяжи - нужно Nexus/Pixel без вариантов, а
> это очень дорого даже БУ.

А пойти на вики и посмотреть список поддерживаемых устройств не пробовал? Даже ссылку могу дать, чтоб не заблудился: https://wiki.lineageos.org/devices/

Как мне обновить ядро в Windows XP и системные библиотеки чтобы закрыть все ошибки но остаться на той же системе? Новые версии windows мне не нужны, нужно лишь обновить рабочие системы под виртуалкой чтобы ушли критические ошибки.

> Как мне обновить ядро в Windows XP и системные библиотеки чтобы закрыть
> все ошибки но остаться на той же системе? Новые версии windows
> мне не нужны, нужно лишь обновить рабочие системы под виртуалкой чтобы
> ушли критические ошибки.

РеактОС не подойдет?

> РеактОС не подойдет?

еще сыроват

>> РеактОС не подойдет?
> еще сыроват
> еще

Оптимист.

Извините, одно дело говорить о телефонах, поддержка систем у которых кончается за 2-3 года, а другое дело WinXP, которая, на минутку, выпущена 17 лет назад.
Венда 7 вот поддерживается и обновляется, вышла она ещё до любого Андроида.
Я не защищаю венду, я говорю о том, что вы тут все сравниваете тёплое с мягким.

Вы не пробовали ставить семёрку на новые ноуты? Начиная с 2017 года выпуска многие компании забили на поддержку дров для семёрки, и дрова на них есть только для 8-10.

А при чём тут это? Речь про актуальный софт на старом железе.

зачем его обновлять? г-но не обновляют, а сливают в канализацию.

На негoвно денег дашь?

Сам заработать не пробовал?

Не можешь. Процесс обновления должен иметь какой-то смысл (быстрее, выше, сильнее). Процесс без смысла, ради процесса, бессмыслен. Не существует обновлений винды, которые могли что-либо в ней улучшить. И это проблема для тех, кто не заблуждается в красивых фантиках.

Рутируй и ставь dnscrypt

>Таким образом, платформа Android станет первой популярной ОС в которой будет доступа из коробки функция шифрования трафика DNS

Как здорово, что в редакции опеннета есть люди с телепатическими возможностями.

Заминусовали то.

И что? Ну не прочтут запросы к днс, так разберут, куда летит запрос на страницу.

Ты не понял, малтшик. Вкупе с https это сделает блокировку сайтов еще более проблемным делом.

Не совсем. SNI как ходил открытым текстом, так и ходит...

Когда залатают?

Насколько я помню в TLS 1.3.

> Насколько я помню в TLS 1.3.

Нет, TLS 1.3 уже приняли, но шифрование SNI туда не вошло.

sni -- это tls protocol extension, на практике все его умеют в 2018

примерно никогда. Так мы с кураторами гугля решили.

просто блокировать ip адрес со всеми сайтами находящимися на сервере. Тоже мне проблема.

> просто блокировать ip адрес со всеми сайтами находящимися на сервере. Тоже мне
> проблема.

ващета проблема. Но мы - боремся.

И многие у вас в службе пишут безграмотно?

Вообще-то проблема. Посмотри, ютуб и фейсбук заблокированы в РФ? Там есть запрещённый контент.

> Вообще-то проблема.

но ни разу не та о которой ты думаешь.

> Посмотри, ютуб и фейсбук заблокированы в РФ?

слушай, ну зачем нам блокировать наших лучших агентов? Мы ж не китайцы бидоноголовые. Они с величайшим удовольствием выполнили команду о переносе твоих данных в нашу осободуховноскрепную страну. И обеспечили нас удобным интерфейсом к ним. А знают они о тебе - даже то, что ты о себе не знаешь (потому что пока ты спал, твои друзья...впрочем, не будем о грустном, тем более фейсбук уже все "удалил")

> Там есть запрещённый контент.

они прекрасно его выпиливают по первой же жалобе роспозора. А _неправильный_ контент - и до жалобы.

а с блокировкой по ip вышли совсем другие неприятности, примерно те же, из-за которых за паршивые 345 рублей каждый может получить себе "неблокируемый" домен (его, конечно, разделегируют, по моей настойчивой просьбе, но небыстро, там не фейсбук, ночью все спят, к примеру)

но мы с этим боремся, и рано или поздно всех прижмем к ногтю. Возможностей у нас есть.

> они прекрасно его выпиливают по первой же жалобе роспозора. А _неправильный_ контент - и до жалобы.

НеДимон до сих пор лежит. Уже скоро год будет после того суда.

> "DNS over TLS" отличается от "DNS over HTTPS" применением штатного протокола DNS (обычно используется сетевой порт 853), завёрнутого в шифрованный канал связи

И тут же

> "DNS over TLS" и "DNS over HTTPS" позволяют исключить утечки сведений

Чот-то совсем не понятно, "DNS over TLS" более безопасный чем "DNS over HTTPS". Или нет разницы?

В обоих случаях используется TLS. Только в случае Https это не класический DNS протокол. А вот в случае DNS over TLS это будет просто тот самый DNS но внутри TLS шифрования.

Глобально меньше

С развёртыванием поддержки DNS-over-TLS первопроходец Dnscrypt отправляется на свалку истории.

вот только какой из этих вариантов таки сесурнее? Емнип dnscrypt тоже поддерживается всякими гуглоднс и прочими

DNScrypt секурнее (решена проблема "первой ночи"), но сложен в применении и реализации. Такой гибрид DNSSEC с TLS. Да ещё и нестандартизирован.

В каком месте DNSCrypt сложен? Скачать пакет / собрать из сырцов, прописать строку на автозапуск и правило iptables (в общем случае) - это сложно? Для serverside ЕМНИП вообще доп. софт необязателен, потому как тот же unbound поддерживает искаропки. Другое дело, что оригинальный разраб проект дропнул и "форком" теперь занимаются сомнительные личности с неясной мотивацией.

> В каком месте DNSCrypt сложен?

В реализации, анон. Никто не говорит про сложность установки мокрописьки для конечного юзера. В самой своей сути днскрипт сложен и ужасен. Потому автор и дропнул первую версию.
Читай: https://github.com/jedisct1/dnscrypt-proxy/wiki/Differences-...
> Code quality     Big ugly mess

> Code quality     Big ugly mess

у пейсателей на игого - так характеризуется все, что написано на нормальных языках, и они ниасилили прочитать.

собственно и вся эта таблица - fud и bullshit.

видите-ли, несекьюрно включать в исходник патченные (потому что штатные не работают) версии системных библиотек. Вот включать все библиотеки, переписанные (и переписываемые каждый день заново) стаей диких go-обезьян, которые вообще никто и никогда не изучает на предмет безопасности, потому что бесполезно, каждый день новая - это нормально, потому что они так думают.

в общем, уносите. dnscrypt мертв. Зверушка и изначально была калекой, а теперь и вовсе дни ее сочтены.

> у пейсателей на игого - так характеризуется все, что написано на нормальных языках, и они ниасилили прочитать.

Но это вики репозитория автора оригинального DNSCrypt, лол. Ниасилятор сперва написал big ugly mess на нормальном языке, все с радостью пользовались, потом он дропнул и назвал тем самым, начав писать вторую версию на го. Самому не смешно? Зачем тогда вам оригинальный проект от такого человека и о чём вы печалитесь?

Не было там никакой сложности и ужаса, пока go-обезьяны не занесли.
Причина дропа изначально выставлялась иная, собственно https://mobile.twitter.com/jedisct1/status/928942292202860544
Спустя некоторое время были выпилены КЕМ файлохранилище на офсайте (dnscrypt.ORG) и ветка git'а, ссылку на которую ты привел, а с офсайта настроен редирект на левый сайт с кривым сертификатом, демонстрирующий в красочных картинках тотальное превосходство DNS-over-TLS над DNSCrypt. Обнаружил случайно, когда у меня wget перестал список резолверов с офсайта дергать. Тред на reddit, народ в непонятках https://www.reddit.com/r/privacy/comments/7oiu9f/what_happen... А теперь внезапно всплывает и git, и автор (а тот ли это автор, и если тот, то каковы причины мутного отказа от софтины в пользу (!)VPN и резкая смена курса?), и реинкарнация. Ничего не напоминает? А мне напомнило слив TrueCrypt и г-нософтовский BitLeaker во все поля.
Касательно

> Code quality     Big ugly mess
> go-обезьян

камрад выше все правильно изложил.

А посмотреть более свежее описание религия не позволяет?

> теперь занимаются сомнительные личности с неясной мотивацией.

лол, да какая разница кто автор первой, а кто второй версии. как раз таки мотивация автора второй версии понятна - удобный конфиг, блэклисты, скорость работы, авто форвардинг и куча фич, поддержка DoH, выбор метода шифрования DoH. и вообще код доступен и первой, и второй версии. вы вообще не туда смотрите. смотреть надо не на авторов кода, а на серверы! точнее на держателей этих серверов. вот в чем вопрос! кто стоит, например, за сетью секурных серверов оупенднс? кто сертифицирует сервера в канаде? кто занимается аудитом сервером тумабокс? вот куда копать надо! клиенты это дело десятое!

Разницы НИКАКОЙ! Один и тот же )))
Есть варианты альтернативы?
Смотреть нужно еще ближе -mitm своего провайдера!

> В каком месте DNSCrypt сложен?

Во всех. Посмотрите принципы, реализацию и поддержание сервера. Плюс для клиента, как правило, нужна ещё и прослойка-прокси.

Чего там нужно для клиента?

Прокси DNScrypt, мон петит ами. Unbound (да, вероятно, все остальные) "внезапно" его не умеет как клиент напрямую.

Обалденно. А как запросы будут шифроваться? Прямотоком?

Ещё более "внезапно" DNS-over-TLS этой прокси-прокладки не требует. Равно как и дополнительного геморроя с ключами.

> Для serverside ЕМНИП вообще доп. софт необязателен, потому как тот же unbound поддерживает искаропки.

Ошибаетесь. Он поддерживает обслуживание запросов, но не работу с ключами. А там подобие DNSSEC/DANE с использованием своего софта.

Чего глупости несем???

Блет не пойму, днскрипт это лучше или хуже?

> Блет не пойму, днскрипт это лучше или хуже?

Хуже тем, что не является стандартом. Стандартизированные решения имеют больше шансов получить в операционных системах реализацию "из коробки", что и произошло.

> Блет не пойму, днскрипт это лучше или хуже?

лучше хотя бы тем, что его не навязывает гугль. Но по этой же причине и не взлетит.
(внутри - такой же в общем треш и п-ц, унесите)

Пока лучше всех вариантов

Провайдерам нельзя иметь своих абонентов, направляя их трафик на IP-адреса, выбранные провайдером. Только Гуглу и его доверенным организациям можно распоряжаться трафиком андроидовладельцев.

> Провайдерам нельзя иметь своих абонентов, направляя их трафик на IP-адреса, выбранные провайдером.
> Только Гуглу и его доверенным организациям можно распоряжаться трафиком андроидовладельцев.

Видимо, вы невнимательно читали новость. Если текущий сервер, который вы и так уже используете, поддерживает DNS over TLS, то можно включить.

Никто не заставляет вас прописывать DNS-сервер гугла в настройках.

> Никто не заставляет вас прописывать DNS-сервер гугла в настройках.

да, мы уже давно работаем над тем, чтоб в настройках можно было написать хоть "йа креведко".

P.S. и нет, вам никто не обещал что в _этом_ месте мы тоже "для большей безопастности" отключим pkp.

Ну это лучше, чем родному ФСБ

>андроидовладельцев

Прочитал как "неандертальцев". Проиграл.

Гугл не поддерживает DNS-over-TLS.

Следующим шагом надо запретить днс открытым текстом и днс с неодобренными гуглем сертами. Ведь это же для нашей безопасности!

а можно сразу в требованиях к ведровендорам прописать захардкоженные 8.8.8.8 и 4.4.4.4 .

Если не можешь запомнить второй днс, то и нефиг писать его, умножая безграмотность.

8.8.4.4 блин - запомнил?

Запомнил.

Пусть хоть 20 шифровальщиков навесят. Попробуй потом снифером трафик словить чтоб отдебажить. Я уже ничем не могу ловить https. О разработчиках не думают. Андроид что-ли пересобирать придется?

подскажи, что ты разрабатываешь? (что случайно не вляпаться)

Мы всегда сталкиваемся с проблемами отношений доверия. Кому доверять своему провайдеру или гуглу - хорошо когда есть выбор. Но в любом случае все основано на доверии, а доверять нельзя никому т.к. что 8.8.8.8, что 1.1.1.1 - это лишь конторки, которые бесплатно не работают и созданы вовсе не для свободы Интернета. У них свои цели и своя монетизация. Но в целом - хорошо когда есть выбор.

Если перед тобой стоит вопрос доверия к провайдеру (!)
то тебе ничего не поможет ))

> Мы всегда сталкиваемся с проблемами отношений доверия. Кому доверять своему провайдеру
> или гуглу - хорошо когда есть выбор.

После внедрения DNS-over-TLS вопрос доверия можно легко решить запустив минуты за 2 в общей сложности на копеечном VPS свой DNS сервер (Unbound + Let's Encrypt) и не парится ни о доверии "корпорациям добра", ни о слушающем вас "товарище майоре".

Подскажите пожалуйста,что такое TLS,и почему при соединении с любым сайтом моя лиса пишет"рукопожатие с ---.com?Зачем это,если и так все мои сообщения читаются,мои файлы просматриваются.Как это TLS отключить?

Там у лисы на обратной стороне тумблер должен быть.

А на какой домен генерить сертификат в связве bind и nginx? И что если там на одном айпи много доменов?

Что ты там собрался генерить?
У тебя свой днс-сервер?

Да, я на все свои сайты свой днс сервер поднимаю.

Лучше бы выпилили SNI из коробки, было бы полезнее.

Зашибись. Ещё encrypted sni добавить и пипец. Что провайдерам останется, что б удовлетворять ркн? Блокировка по ip только. Вот радости будет для всех...