Yn dilyn Cwmni Google am y bwriad i gynnal arbrawf i brofi gweithrediad “DNS over HTTPS” (DoH, DNS over HTTPS) yn cael ei ddatblygu ar gyfer porwr Chrome. Bydd gan Chrome 78, a drefnwyd ar gyfer Hydref 22ain, rai categorïau defnyddwyr yn ddiofyn i ddefnyddio DoH. Dim ond defnyddwyr y mae eu gosodiadau system presennol yn nodi rhai darparwyr DNS y cydnabyddir eu bod yn gydnaws â'r Adran Iechyd fydd yn cymryd rhan yn yr arbrawf i alluogi'r Adran Iechyd.
Mae'r rhestr wen o ddarparwyr DNS yn cynnwys Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112, Glanhau 185.228.168.168, 185.228.169.168). 185.222.222.222, 185.184.222.222) a DNS.SB (XNUMX, XNUMX). Os yw gosodiadau DNS y defnyddiwr yn nodi un o'r gweinyddwyr DNS a grybwyllir uchod, bydd DoH yn Chrome yn cael ei alluogi yn ddiofyn. I'r rhai sy'n defnyddio gweinyddwyr DNS a ddarperir gan eu darparwr Rhyngrwyd lleol, bydd popeth yn aros yr un fath a bydd datrysiad y system yn parhau i gael ei ddefnyddio ar gyfer ymholiadau DNS.
Gwahaniaeth pwysig o weithrediad DoH yn Firefox, a alluogodd DoH yn raddol yn ddiofyn eisoes ar ddiwedd mis Medi, yw'r diffyg rhwymo i un gwasanaeth Adran Iechyd. Os yn Firefox yn ddiofyn CloudFlare gweinydd DNS, yna bydd Chrome ond yn diweddaru'r dull o weithio gyda DNS i wasanaeth cyfatebol, heb newid y darparwr DNS. Er enghraifft, os oes gan y defnyddiwr DNS 8.8.8.8 wedi'i nodi yn y gosodiadau system, yna bydd Chrome Gwasanaeth Google DoH (“https://dns.google.com/dns-query”), os yw DNS yn 1.1.1.1, yna gwasanaeth Cloudflare DoH (“ https://cloudflare-dns.com/dns-query ”) A
Os dymunir, gall y defnyddiwr alluogi neu analluogi DoH gan ddefnyddio'r gosodiad “chrome://flags/#dns-over-https”. Cefnogir tri dull gweithredu: diogel, awtomatig ac i ffwrdd. Yn y modd “diogel”, pennir gwesteiwyr yn unig yn seiliedig ar werthoedd diogel a storiwyd yn flaenorol (a dderbyniwyd trwy gysylltiad diogel) a cheisiadau trwy'r Adran Iechyd; ni chymhwysir wrth gefn i DNS rheolaidd. Yn y modd “awtomatig”, os nad yw DoH a'r storfa ddiogel ar gael, gellir adfer data o'r storfa anniogel a'i gyrchu trwy DNS traddodiadol. Yn y modd “off”, mae'r storfa a rennir yn cael ei wirio gyntaf ac os nad oes data, anfonir y cais trwy'r system DNS. Mae'r modd yn cael ei osod trwy kDnsOverHttpsMode , a thempled mapio'r gweinydd trwy kDnsOverHttpsTemplates.
Bydd yr arbrawf i alluogi DoH yn cael ei gynnal ar bob platfform a gefnogir yn Chrome, ac eithrio Linux ac iOS oherwydd natur an-ddibwys dosrannu gosodiadau datryswr a chyfyngu mynediad i osodiadau DNS system. Os bydd problemau, ar ôl galluogi DoH, yn anfon ceisiadau at weinydd yr Adran Iechyd (er enghraifft, oherwydd ei rwystro, ei gysylltedd rhwydwaith neu ei fethiant), bydd y porwr yn dychwelyd gosodiadau DNS y system yn awtomatig.
Pwrpas yr arbrawf yw rhoi prawf terfynol ar weithrediad yr Adran Iechyd ac astudio effaith defnyddio'r Adran Iechyd ar berfformiad. Dylid nodi bod cefnogaeth yr Adran Iechyd mewn gwirionedd i mewn i'r codebase Chrome yn ôl ym mis Chwefror, ond i ffurfweddu a galluogi DoH lansio Chrome gyda baner arbennig a set o opsiynau nad ydynt yn amlwg.
Gadewch inni gofio y gall yr Adran Iechyd fod yn ddefnyddiol ar gyfer atal gollyngiadau gwybodaeth am yr enwau gwesteiwr y gofynnwyd amdanynt trwy weinyddion DNS darparwyr, brwydro yn erbyn ymosodiadau MITM a ffugio traffig DNS (er enghraifft, wrth gysylltu â Wi-Fi cyhoeddus), gan atal blocio yn y DNS lefel (ni all DoH ddisodli VPN ym maes blocio osgoi a weithredir ar lefel DPI) neu ar gyfer trefnu gwaith os yw'n amhosibl cael mynediad uniongyrchol i weinyddion DNS (er enghraifft, wrth weithio trwy ddirprwy). Os yw ceisiadau DNS mewn sefyllfa arferol yn cael eu hanfon yn uniongyrchol at weinyddion DNS a ddiffinnir yng nghyfluniad y system, yna yn achos DoH, mae'r cais i bennu cyfeiriad IP y gwesteiwr wedi'i grynhoi mewn traffig HTTPS a'i anfon at y gweinydd HTTP, lle mae'r datryswr yn prosesu ceisiadau trwy'r Web API. Mae'r safon DNSSEC bresennol yn defnyddio amgryptio i ddilysu'r cleient a'r gweinydd yn unig, ond nid yw'n amddiffyn traffig rhag rhyng-gipio ac nid yw'n gwarantu cyfrinachedd ceisiadau.
Ffynhonnell: opennet.ru