Následující společnost Google o záměru provést experiment otestovat implementaci „DNS over HTTPS“ (DoH, DNS over HTTPS) vyvíjenou pro prohlížeč Chrome. Chrome 78, naplánovaný na 22. října, bude mít ve výchozím nastavení některé kategorie uživatelů používat DoH. Pouze uživatelé, jejichž aktuální nastavení systému specifikují určité poskytovatele DNS uznané jako kompatibilní s DoH, se zúčastní experimentu, který umožní DoH.
Bílá listina poskytovatelů DNS zahrnuje Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112 185.228.168.168, 185.228.169.168) a DNS.SB (185.222.222.222, 185.184.222.222). Pokud nastavení DNS uživatele určuje jeden z výše uvedených serverů DNS, bude DoH v prohlížeči Chrome ve výchozím nastavení povoleno. Pro ty, kteří používají DNS servery poskytované jejich místním poskytovatelem internetu, zůstane vše nezměněno a systémový resolver bude i nadále používán pro DNS dotazy.
Důležitý rozdíl oproti implementaci DoH ve Firefoxu, který DoH postupně ve výchozím nastavení povoloval již na konci září chybí vazba na jednu službu DoH. Pokud ve výchozím nastavení Firefox CloudFlare DNS server, pak Chrome pouze aktualizuje metodu práce s DNS na ekvivalentní službu, aniž by změnil poskytovatele DNS. Pokud má uživatel například v nastavení systému zadaný DNS 8.8.8.8, Chrome to udělá Služba Google DoH („https://dns.google.com/dns-query“), pokud je DNS 1.1.1.1, pak služba Cloudflare DoH („https://cloudflare-dns.com/dns-query“) A
V případě potřeby může uživatel aktivovat nebo deaktivovat DoH pomocí nastavení „chrome://flags/#dns-over-https“. Podporovány jsou tři provozní režimy: bezpečný, automatický a vypnutý. V „zabezpečeném“ režimu jsou hostitelé určováni pouze na základě dříve uložených zabezpečených hodnot (přijatých prostřednictvím zabezpečeného připojení) a požadavků prostřednictvím DoH; záložní na běžný DNS se nepoužívá. V „automatickém“ režimu, pokud DoH a zabezpečená mezipaměť nejsou k dispozici, lze data načíst z nezabezpečené mezipaměti a přistupovat k nim prostřednictvím tradičního DNS. V režimu „vypnuto“ je nejprve zkontrolována sdílená mezipaměť a pokud nejsou k dispozici žádná data, je odeslán požadavek prostřednictvím systémového DNS. Režim se nastavuje přes kDnsOverHttpsMode a šablonu mapování serveru prostřednictvím kDnsOverHttpsTemplates.
Experiment umožňující DoH bude proveden na všech platformách podporovaných v Chrome, s výjimkou Linuxu a iOS kvůli netriviální povaze analýzy nastavení resolveru a omezení přístupu k systémovým nastavením DNS. Pokud se po povolení DoH vyskytnou problémy s odesíláním požadavků na server DoH (například z důvodu jeho zablokování, síťové konektivity nebo selhání), prohlížeč automaticky vrátí systémové nastavení DNS.
Účelem experimentu je finální testování implementace DoH a studium dopadu používání DoH na výkon. Je třeba poznamenat, že ve skutečnosti podpora DoH byla do kódové základny Chrome již v únoru, ale konfigurovat a povolit DoH spuštění Chromu se speciálním příznakem a nezřejmou sadou možností.
Připomeňme, že DoH může být užitečné pro zabránění úniku informací o požadovaných názvech hostitelů přes DNS servery poskytovatelů, v boji proti MITM útokům a DNS traffic spoofing (například při připojení k veřejné Wi-Fi), proti blokování na DNS úroveň (DoH nemůže nahradit VPN v oblasti obcházení blokování implementovaného na úrovni DPI) nebo pro organizaci práce, pokud není možný přímý přístup k serverům DNS (například při práci přes proxy). Pokud jsou za normální situace požadavky DNS odesílány přímo na servery DNS definované v konfiguraci systému, pak v případě DoH je požadavek na určení IP adresy hostitele zapouzdřen do provozu HTTPS a odeslán na server HTTP, kde překladač zpracovává požadavky prostřednictvím webového rozhraní API. Stávající standard DNSSEC používá šifrování pouze k ověření klienta a serveru, ale nechrání provoz před zachycením a nezaručuje důvěrnost požadavků.
Zdroj: opennet.ru