Dopu Cumpagnia di Google circa l'intenzione di fà un esperimentu per pruvà l'implementazione "DNS over HTTPS" (DoH, DNS over HTTPS) sviluppata per u navigatore Chrome. Chrome 78, previstu per u 22 d'ottobre, averà alcune categurie d'utilizatori per difettu per aduprà DoH. Solu l'utilizatori chì i paràmetri di u sistema attuale specificanu certi fornituri DNS ricunnisciuti cum'è cumpatibili cù DoH participaranu à l'esperimentu per attivà DoH.
A lista bianca di i fornituri DNS include Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220) 9 , 9.9.9.9) è DNS.SB (149.112.112.112, 185.228.168.168). Se i paràmetri DNS di l'utilizatore specificanu unu di i servitori DNS sopra citati, DoH in Chrome serà attivatu per automaticamente. Per quelli chì utilizanu servitori DNS furniti da u so fornitore di Internet lucale, tuttu resta invariatu è u risolve di u sistema continuarà à esse usatu per e dumande DNS.
Una diferenza impurtante da l'implementazione di DoH in Firefox, chì hà gradualmente attivatu DoH per automaticamente digià à a fine di sittembri, hè a mancanza di ubligatoriu à un serviziu DoH. Se in Firefox per difettu Servitore DNS CloudFlare, allora Chrome aghjurnà solu u metudu di travaglià cù DNS à un serviziu equivalente, senza cambià u fornitore DNS. Per esempiu, se l'utilizatore hà DNS 8.8.8.8 specificatu in i paràmetri di u sistema, allora Chrome farà Serviziu Google DoH ("https://dns.google.com/dns-query"), se DNS hè 1.1.1.1, allora u serviziu Cloudflare DoH ("https://cloudflare-dns.com/dns-query") È
Se vulete, l'utilizatore pò attivà o disattivà DoH usendu l'impostazione "chrome: // flags/#dns-over-https". Trè modi operativi sò supportati: sicuru, automaticu è off. In u modu "seguru", l'ospiti sò determinati solu nantu à i valori sicuri in cache precedente (ricivuti via una cunnessione sicura) è e richieste via DoH ùn sò micca applicate. In u modu "automaticu", se DoH è a cache sicura ùn sò micca dispunibili, i dati ponu esse recuperati da u cache insecure è accede à u DNS tradiziunale. In u modu "off", u cache spartutu hè prima verificatu è se ùn ci hè micca dati, a dumanda hè mandata à traversu u sistema DNS. U modu hè stabilitu via kDnsOverHttpsMode , è u mudellu di mapping di u servitore attraversu kDnsOverHttpsTemplates.
L'esperimentu per attivà DoH serà realizatu nantu à tutte e piattaforme supportate in Chrome, cù l'eccezzioni di Linux è iOS per via di a natura non-triviale di l'analisi di i paràmetri di risolve è restringe l'accessu à i paràmetri DNS di u sistema. Se, dopu avè attivatu DoH, ci sò prublemi per mandà dumande à u servitore DoH (per esempiu, per via di u so bluccatu, a cunnessione di a rete o fallimentu), u navigatore hà da rinvià automaticamente i paràmetri DNS di u sistema.
U scopu di l'esperimentu hè di pruvà finali l'implementazione di DoH è studià l'impattu di l'usu di DoH nantu à u rendiment. Hè da nutà chì in fattu u sustegnu DoH era in u codice di Chrome in u ferraghju, ma per cunfigurà è attivà DoH lanciari Chrome cù una bandiera speciale è un inseme d'opzioni micca evidenti.
Ricurdemu chì DoH pò esse utile per prevenzione di fughe d'infurmazioni nantu à i nomi di l'ospiti richiesti attraversu i servitori DNS di i fornituri, cumbattimentu di attacchi MITM è spoofing di trafficu DNS (per esempiu, quandu si cunnetta à u Wi-Fi publicu), contru u bloccu à u DNS. Livellu (DoH ùn pò micca rimpiazzà una VPN in l'area di u bloccu di bypassing implementatu à u livellu DPI) o per urganizà u travagliu s'ellu hè impussibile di accede direttamente à i servitori DNS (per esempiu, quandu travaglia cù un proxy). Se in una situazione normale, e dumande DNS sò direttamente mandate à i servitori DNS definiti in a cunfigurazione di u sistema, allora in u casu di DoH, a dumanda per determinà l'indirizzu IP di l'ospiti hè incapsulata in u trafficu HTTPS è mandata à u servitore HTTP, induve i prucessi di risolve. richieste via l'API Web. U standard DNSSEC esistente usa a criptografia solu per autentificà u cliente è u servitore, ma ùn pruteghja micca u trafficu da l'intercepzioni è ùn guarantisci micca a cunfidenziale di e dumande.
Source: opennet.ru