Nachfolgend Google-Unternehmen über die Absicht, ein Experiment durchzuführen, um die „DNS over HTTPS“ (DoH, DNS over HTTPS)-Implementierung zu testen, die für den Chrome-Browser entwickelt wird. Chrome 78, geplant für den 22. Oktober, wird standardmäßig einige Benutzerkategorien haben DoH zu verwenden. An dem Experiment zur Aktivierung von DoH nehmen nur Benutzer teil, deren aktuelle Systemeinstellungen bestimmte als mit DoH kompatibel anerkannte DNS-Anbieter festlegen.
Die weiße Liste der DNS-Anbieter umfasst Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Cleanbrowsing (185.228.168.168. 185.228.169.168, 185.222.222.222) und DNS.SB (185.184.222.222, XNUMX). Wenn die DNS-Einstellungen des Benutzers einen der oben genannten DNS-Server angeben, ist DoH in Chrome standardmäßig aktiviert. Für diejenigen, die DNS-Server ihres lokalen Internetproviders nutzen, bleibt alles unverändert und der Systemresolver wird weiterhin für DNS-Anfragen verwendet.
Ein wichtiger Unterschied zur Implementierung von DoH in Firefox, bei dem DoH nach und nach standardmäßig aktiviert wurde Bereits Ende September wurde die fehlende Bindung an einen DoH-Dienst festgestellt. Wenn standardmäßig in Firefox Wenn Sie einen CloudFlare-DNS-Server verwenden, aktualisiert Chrome lediglich die Arbeitsweise mit DNS auf einen gleichwertigen Dienst, ohne den DNS-Anbieter zu ändern. Wenn der Benutzer beispielsweise DNS 8.8.8.8 in den Systemeinstellungen angegeben hat, wird Chrome dies tun Google DoH-Dienst („https://dns.google.com/dns-query“), wenn DNS 1.1.1.1 ist, dann Cloudflare DoH-Dienst („https://cloudflare-dns.com/dns-query“) Und
Bei Bedarf kann der Benutzer DoH mithilfe der Einstellung „chrome://flags/#dns-over-https“ aktivieren oder deaktivieren. Es werden drei Betriebsmodi unterstützt: sicher, automatisch und aus. Im „sicheren“ Modus werden Hosts nur anhand zuvor zwischengespeicherter sicherer Werte (über eine sichere Verbindung empfangen) und Anfragen über DoH ermittelt; ein Rückgriff auf reguläres DNS wird nicht angewendet. Wenn im „automatischen“ Modus DoH und der sichere Cache nicht verfügbar sind, können Daten aus dem unsicheren Cache abgerufen und über herkömmliches DNS abgerufen werden. Im „Aus“-Modus wird zunächst der gemeinsame Cache überprüft und wenn keine Daten vorhanden sind, wird die Anfrage über den System-DNS gesendet. Der Modus wird über eingestellt kDnsOverHttpsMode und die Serverzuordnungsvorlage über kDnsOverHttpsTemplates.
Das Experiment zur Aktivierung von DoH wird auf allen in Chrome unterstützten Plattformen durchgeführt, mit Ausnahme von Linux und iOS, da das Parsen von Resolver-Einstellungen und die Einschränkung des Zugriffs auf System-DNS-Einstellungen nicht trivial sind. Wenn nach der Aktivierung von DoH Probleme beim Senden von Anfragen an den DoH-Server auftreten (z. B. aufgrund einer Blockierung, Netzwerkverbindung oder eines Fehlers), gibt der Browser automatisch die DNS-Einstellungen des Systems zurück.
Der Zweck des Experiments besteht darin, die Implementierung von DoH abschließend zu testen und die Auswirkungen der Verwendung von DoH auf die Leistung zu untersuchen. Es sollte beachtet werden, dass es tatsächlich Unterstützung durch das DoH gab in die Chrome-Codebasis bereits im Februar, sondern um DoH zu konfigurieren und zu aktivieren Starten von Chrome mit einer speziellen Flagge und einer nicht offensichtlichen Reihe von Optionen.
Erinnern wir uns daran, dass DoH nützlich sein kann, um das Durchsickern von Informationen über die angeforderten Hostnamen über die DNS-Server von Anbietern zu verhindern, MITM-Angriffe und DNS-Traffic-Spoofing (z. B. beim Herstellen einer Verbindung zu öffentlichem WLAN) zu bekämpfen und Blockaden im DNS entgegenzuwirken Ebene (DoH kann ein VPN im Bereich der Umgehung der auf DPI-Ebene implementierten Blockierung nicht ersetzen) oder zur Arbeitsorganisation, wenn ein direkter Zugriff auf DNS-Server nicht möglich ist (z. B. bei der Arbeit über einen Proxy). Wenn in einer normalen Situation DNS-Anfragen direkt an in der Systemkonfiguration definierte DNS-Server gesendet werden, wird im Fall von DoH die Anfrage zur Ermittlung der IP-Adresse des Hosts im HTTPS-Verkehr gekapselt und an den HTTP-Server gesendet, wo der Resolver die Verarbeitung durchführt Anfragen über die Web-API. Der bestehende DNSSEC-Standard verwendet Verschlüsselung nur zur Authentifizierung von Client und Server, schützt den Datenverkehr jedoch nicht vor dem Abfangen und garantiert nicht die Vertraulichkeit von Anfragen.
Source: opennet.ru