tak jsem si s tím hrál a docela špatné.
Android DoT když je k dispozici. Prostě otestuje 853 a pak ho používá. DoH ne. Android 13 a 14.
Windows pouze Do53 pokud nehodláte ručně upravovat konfig windowsu a nebo pokud nepoužijete poskytovatele zanesené v systému. Typicky google, cloudflare, bind9 atd... Jiné nehodlá použít. Napíšete tam vlastní a nezkusí ani DoH Discoverable a nepožádá ani o SVCB záznam a nezkusí ani DoT.
Prohlížeče berou nastavení ze systému pokud se to nepřenastaví. Když se ručně nastaví DNS do prohlížeče tak začne používat i DoH když je k dispozici.
Bez manuálního zásahu do Windows nebo prohlížeče se mi nepovedlo používat ani DoT natož DoH. Fungovalo to pouze se servery které jsou evidentně zanesené s OS. Zdá se že známé veřejné resolvery už jsou i se šablonami pro DoH zaneseny v OS. Cizí se musí dopsat.
kdig proti vlastnímu resolveru v klidu podepisuje. Dotaz probíhá na doménové jméno, ne na IP adresu kdy je certifikát not trusted což je logické. O požadavek na SVCB záznam se žádný windows nepokusil a tím nezjistí jméno a nezjistí ani šablonu.
Překvapilo mě že jeden požadavek přes DoH trvá 10x delší dobu vyřídit než přes Do53 což asi bude způsobené navázáním TCP a ověřením klíčů kdy se to děje při každém požadavku od kdig. Normálně to zůstane spojení otevřené delší dobu a použije se pro další požadavky.
Použit byl Knot Resolver 5.7.0
Někde v draftu jsem viděl použití dhcp option pro konfiguraci toho co má poskytovat i DoH Discoverable.
Ale jsem amatér, tak to berte s rezervou.