التالي شركة جوجل حول نية إجراء تجربة لاختبار تنفيذ "DNS over HTTPS" (DoH، DNS over HTTPS) الذي يتم تطويره لمتصفح Chrome. سيحتوي Chrome 78، المقرر إطلاقه في 22 أكتوبر، على بعض فئات المستخدمين بشكل افتراضي لاستخدام DoH. لن يشارك في التجربة لتمكين DoH سوى المستخدمين الذين تحدد إعدادات نظامهم الحالية بعض موفري DNS المعترف بهم على أنهم متوافقون مع DoH.
تتضمن القائمة البيضاء لموفري DNS جوجل (8.8.8.8، 8.8.4.4)، كلاود فلير (1.1.1.1، 1.0.0.1)، OpenDNS (208.67.222.222، 208.67.220.220)، Quad9 (9.9.9.9، 149.112.112.112)، التصفح النظيف (185.228.168.168. 185.228.169.168، 185.222.222.222) وDNS.SB (185.184.222.222، XNUMX). إذا حددت إعدادات DNS الخاصة بالمستخدم أحد خوادم DNS المذكورة أعلاه، فسيتم تنشيط DoH في Chrome افتراضيًا. بالنسبة لأولئك الذين يستخدمون خوادم DNS التي يوفرها مزود الإنترنت المحلي الخاص بهم، سيبقى كل شيء دون تغيير وسيستمر استخدام محلل النظام لاستعلامات DNS.
هناك اختلاف مهم عن تنفيذ DoH في Firefox، والذي مكّن DoH تدريجيًا افتراضيًا بالفعل في نهاية سبتمبر، هو عدم وجود ملزمة لخدمة وزارة الصحة واحدة. إذا كان في فايرفوكس بشكل افتراضي خادم CloudFlare DNS، ثم سيقوم Chrome فقط بتحديث طريقة العمل مع DNS إلى خدمة مكافئة، دون تغيير موفر DNS. على سبيل المثال، إذا كان المستخدم لديه DNS 8.8.8.8 محددًا في إعدادات النظام، فسيقوم Chrome بذلك خدمة Google DoH (“https://dns.google.com/dns-query”)، إذا كان DNS هو 1.1.1.1، فإن خدمة Cloudflare DoH (“https://cloudflare-dns.com/dns-query”) و
إذا رغبت في ذلك، يمكن للمستخدم تمكين DoH أو تعطيله باستخدام الإعداد "chrome://flags/#dns-over-https". يتم دعم ثلاثة أوضاع تشغيل: آمن، تلقائي، وإيقاف التشغيل. في الوضع "الآمن"، يتم تحديد المضيفين فقط بناءً على القيم الآمنة المخزنة مؤقتًا مسبقًا (التي يتم تلقيها عبر اتصال آمن) والطلبات عبر DoH؛ ولا يتم تطبيق الرجوع إلى DNS العادي. في الوضع "التلقائي"، في حالة عدم توفر DoH وذاكرة التخزين المؤقت الآمنة، يمكن استرداد البيانات من ذاكرة التخزين المؤقت غير الآمنة والوصول إليها من خلال DNS التقليدي. في وضع "إيقاف التشغيل"، يتم فحص ذاكرة التخزين المؤقت المشتركة أولاً وإذا لم تكن هناك بيانات، يتم إرسال الطلب عبر DNS الخاص بالنظام. يتم ضبط الوضع عبر kDnsOverHttpsMode، وقالب تعيين الخادم من خلال kDnsOverHttpsTemplates.
سيتم تنفيذ تجربة تمكين DoH على جميع الأنظمة الأساسية المدعومة في Chrome، باستثناء Linux وiOS نظرًا للطبيعة غير التافهة لتحليل إعدادات محلل البيانات وتقييد الوصول إلى إعدادات DNS للنظام. إذا كانت هناك مشكلات، بعد تمكين DoH، في إرسال الطلبات إلى خادم DoH (على سبيل المثال، بسبب الحظر أو الاتصال بالشبكة أو الفشل)، فسيقوم المتصفح تلقائيًا بإرجاع إعدادات DNS للنظام.
الغرض من التجربة هو الاختبار النهائي لتطبيق دائرة الصحة ودراسة تأثير استخدام دائرة الصحة على الأداء. تجدر الإشارة إلى أنه في الواقع كان دعم وزارة الصحة في قاعدة بيانات Chrome مرة أخرى في فبراير، ولكن لتهيئة DoH وتمكينه تشغيل Chrome بعلامة خاصة ومجموعة خيارات غير واضحة.
دعونا نتذكر أن DoH يمكن أن تكون مفيدة في منع تسرب المعلومات حول أسماء المضيفين المطلوبة من خلال خوادم DNS الخاصة بموفري الخدمة، ومكافحة هجمات MITM وانتحال حركة مرور DNS (على سبيل المثال، عند الاتصال بشبكة Wi-Fi عامة)، ومكافحة الحظر في DNS المستوى (لا يمكن لـ DoH استبدال VPN في مجال تجاوز الحظر المطبق على مستوى DPI) أو لتنظيم العمل إذا كان من المستحيل الوصول مباشرة إلى خوادم DNS (على سبيل المثال، عند العمل من خلال وكيل). إذا تم إرسال طلبات DNS في الوضع العادي مباشرة إلى خوادم DNS المحددة في تكوين النظام، ففي حالة DoH، يتم تغليف طلب تحديد عنوان IP الخاص بالمضيف في حركة مرور HTTPS وإرساله إلى خادم HTTP، حيث يقوم المحلل بمعالجة الطلبات عبر Web API. يستخدم معيار DNSSEC الحالي التشفير فقط لمصادقة العميل والخادم، ولكنه لا يحمي حركة المرور من الاعتراض ولا يضمن سرية الطلبات.
المصدر: opennet.ru