İzləyir Google şirkəti Chrome brauzeri üçün hazırlanmaqda olan “HTTPS üzərindən DNS” (DoH, HTTPS üzərində DNS) tətbiqini sınaqdan keçirmək üçün eksperiment aparmaq niyyəti haqqında. Oktyabrın 78-nə planlaşdırılan Chrome 22-də defolt olaraq bəzi istifadəçi kateqoriyaları olacaq DoH istifadə etmək. Yalnız cari sistem parametrləri DoH ilə uyğun olaraq tanınan müəyyən DNS provayderlərini təyin edən istifadəçilər DoH-ni aktivləşdirmək üçün sınaqda iştirak edəcəklər.
DNS provayderlərinin ağ siyahısına daxildir Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112, Clean (185.228.168.168.row) . 185.228.169.168, 185.222.222.222) və DNS.SB (185.184.222.222, XNUMX). İstifadəçinin DNS parametrləri yuxarıda qeyd olunan DNS serverlərindən birini təyin edərsə, Chrome-da DoH defolt olaraq aktivləşdiriləcək. Yerli İnternet provayderi tərəfindən təmin edilən DNS serverlərindən istifadə edənlər üçün hər şey dəyişməz qalacaq və sistem həlledicisi DNS sorğuları üçün istifadə olunmağa davam edəcək.
Defolt olaraq tədricən DoH-ni aktivləşdirən Firefox-da DoH tətbiqindən mühüm fərq artıq sentyabr ayının sonunda, bir DoH xidmətinə məcburi olmamasıdır. Əgər default olaraq Firefox-dadırsa CloudFlare DNS serveri, onda Chrome DNS provayderini dəyişdirmədən yalnız DNS ilə işləmə üsulunu ekvivalent xidmətə yeniləyəcək. Məsələn, istifadəçinin sistem parametrlərində müəyyən edilmiş DNS 8.8.8.8 varsa, Chrome bunu edəcək Google DoH xidməti (“https://dns.google.com/dns-query”), əgər DNS 1.1.1.1-dirsə, Cloudflare DoH xidməti (“https://cloudflare-dns.com/dns-query”) Və
İstəyirsə, istifadəçi “chrome://flags/#dns-over-https” parametrindən istifadə edərək DoH-ni aktivləşdirə və ya söndürə bilər. Üç iş rejimi dəstəklənir: təhlükəsiz, avtomatik və söndürülmə. "Təhlükəsiz" rejimdə hostlar yalnız əvvəllər keşlənmiş təhlükəsiz dəyərlərə (təhlükəsiz əlaqə vasitəsilə qəbul edilmiş) və DoH vasitəsilə sorğulara əsasən müəyyən edilir; adi DNS-ə geri qaytarılma tətbiq edilmir. “Avtomatik” rejimdə, əgər DoH və təhlükəsiz keş əlçatmazdırsa, məlumat təhlükəsiz olmayan keşdən götürülə və ənənəvi DNS vasitəsilə əldə edilə bilər. "Söndürülmüş" rejimdə əvvəlcə paylaşılan keş yoxlanılır və məlumat yoxdursa, sorğu sistemin DNS vasitəsilə göndərilir. Rejim vasitəsilə təyin edilir kDnsOverHttpsMode və kDnsOverHttpsTemplates vasitəsilə server xəritələşdirmə şablonu.
DoH-ni aktivləşdirmək üçün sınaq həlledici parametrlərin təhlilinin qeyri-trivial xarakteri və sistemin DNS parametrlərinə girişin məhdudlaşdırılması səbəbindən Linux və iOS istisna olmaqla, Chrome-da dəstəklənən bütün platformalarda həyata keçiriləcək. DoH-u işə saldıqdan sonra DoH serverinə sorğuların göndərilməsində problemlər yaranarsa (məsələn, onun bloklanması, şəbəkə bağlantısı və ya nasazlığı səbəbindən), brauzer avtomatik olaraq sistemin DNS parametrlərini qaytaracaq.
Təcrübənin məqsədi DoH tətbiqini yekun sınaqdan keçirmək və DoH-dən istifadənin performansa təsirini öyrənməkdir. Qeyd etmək lazımdır ki, əslində DoH dəstəyi idi Fevral ayında Chrome kod bazasına daxil olun, lakin DoH-ni konfiqurasiya etmək və aktivləşdirmək üçün xüsusi bayraq və qeyri-aşkar seçimlər dəsti ilə Chrome-u işə salmaq.
Yada salaq ki, DoH provayderlərin DNS serverləri vasitəsilə tələb olunan host adları haqqında məlumat sızmasının qarşısını almaq, MITM hücumları və DNS trafik saxtakarlığı ilə mübarizə (məsələn, ictimai Wi-Fi-a qoşularkən), DNS-də bloklamaya qarşı mübarizə üçün faydalı ola bilər. səviyyəli (DoH DPI səviyyəsində həyata keçirilən bloklamadan yan keçmə sahəsində VPN-i əvəz edə bilməz) və ya DNS serverlərinə birbaşa daxil olmaq mümkün olmadıqda işin təşkili üçün (məsələn, proxy vasitəsilə işləyərkən). Normal vəziyyətdə DNS sorğuları birbaşa sistem konfiqurasiyasında müəyyən edilmiş DNS serverlərinə göndərilirsə, DoH vəziyyətində, hostun IP ünvanını müəyyən etmək üçün sorğu HTTPS trafikinə daxil edilir və həlledicinin emal etdiyi HTTP serverinə göndərilir. Web API vasitəsilə sorğular. Mövcud DNSSEC standartı yalnız müştəri və serverin autentifikasiyası üçün şifrələmədən istifadə edir, lakin trafiki ələ keçirməkdən qorumur və sorğuların məxfiliyinə zəmanət vermir.
Mənbə: opennet.ru