Praćenje Google kompanija o namjeri da se provede eksperiment za testiranje implementacije “DNS over HTTPS” (DoH, DNS over HTTPS) koja se razvija za Chrome pretraživač. Chrome 78, zakazan za 22. oktobar, imat će neke kategorije korisnika prema zadanim postavkama koristiti DoH. Samo korisnici čije trenutne postavke sistema navode određene DNS provajdere koji su prepoznati kao kompatibilni sa DoH će učestvovati u eksperimentu za omogućavanje DoH.
Bijela lista DNS provajdera uključuje Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112 185.228.168.168 , 185.228.169.168) i DNS.SB (185.222.222.222, 185.184.222.222). Ako korisničke DNS postavke specificiraju jedan od gore navedenih DNS servera, DoH u Chromeu će biti omogućen prema zadanim postavkama. Za one koji koriste DNS servere koje obezbjeđuje njihov lokalni Internet provajder, sve će ostati nepromijenjeno i sistemski razrješavač će se i dalje koristiti za DNS upite.
Važna razlika u odnosu na implementaciju DoH-a u Firefox-u, koji je postepeno omogućio DoH po defaultu već krajem septembra je nedostatak vezivanja za jednu službu DoH. Ako je u Firefoxu po defaultu CloudFlare DNS server, Chrome će samo ažurirati način rada sa DNS-om na ekvivalentnu uslugu, bez promjene DNS provajdera. Na primjer, ako korisnik ima DNS 8.8.8.8 naveden u sistemskim postavkama, Chrome će to učiniti Google DoH usluga (“https://dns.google.com/dns-query”), ako je DNS 1.1.1.1, onda Cloudflare DoH usluga (“https://cloudflare-dns.com/dns-query”) i
Ako želi, korisnik može omogućiti ili onemogućiti DoH koristeći postavku "chrome://flags/#dns-over-https". Podržana su tri načina rada: siguran, automatski i isključen. U „sigurnom“ načinu rada, hostovi se određuju samo na osnovu prethodno keširanih sigurnih vrijednosti (primljenih putem sigurne veze) i zahtjeva putem DoH-a; povratak na obični DNS se ne primjenjuje. U „automatskom“ načinu rada, ako DoH i bezbedna keš memorija nisu dostupni, podaci se mogu preuzeti iz nesigurne keš memorije i pristupiti im preko tradicionalnog DNS-a. U “off” modu, prvo se provjerava dijeljena keš memorija i ako nema podataka, zahtjev se šalje preko sistemskog DNS-a. Režim se postavlja preko kDnsOverHttpsMode i predložak mapiranja servera kroz kDnsOverHttpsTemplates.
Eksperiment za omogućavanje DoH-a će se provesti na svim platformama podržanim u Chromeu, s izuzetkom Linuxa i iOS-a zbog netrivijalne prirode raščlanjivanja postavki razrjeđivača i ograničavanja pristupa sistemskim DNS postavkama. Ako nakon omogućavanja DoH-a dođe do problema sa slanjem zahtjeva na DoH server (na primjer, zbog njegovog blokiranja, mrežne povezanosti ili kvara), pretraživač će automatski vratiti sistemske DNS postavke.
Svrha eksperimenta je konačno testiranje implementacije DoH-a i proučavanje utjecaja korištenja DoH-a na performanse. Treba napomenuti da je u stvari podrška DoH bila u Chromeovu bazu kodova još u februaru, ali da konfigurišete i omogućite DoH pokretanje Chromea sa posebnom zastavicom i neočiglednim skupom opcija.
Podsjetimo, DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hosta preko DNS servera provajdera, suzbijanje MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), sprječavanje blokiranja na DNS-u razini (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na DPI nivou) ili za organizaciju rada ako je nemoguće direktno pristupiti DNS serverima (na primjer, kada se radi preko proxyja). Ako se u normalnoj situaciji DNS zahtjevi direktno šalju na DNS servere definirane u konfiguraciji sistema, tada se u slučaju DoH-a zahtjev za određivanje IP adrese hosta inkapsulira u HTTPS promet i šalje na HTTP server, gdje razrješavač obrađuje zahtjeva putem Web API-ja. Postojeći DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i servera, ali ne štiti promet od presretanja i ne garantuje povjerljivost zahtjeva.
izvor: opennet.ru