In Chrome 78 werden Experimente zur Aktivierung von DNS-over-HTTPS beginnen.

Nachfolgend Mozilla die Firma Google berichtet über die Absicht, ein Experiment zur Überprüfung der für den Chrome-Browser entwickelten Implementierung von „DNS über HTTPS“ (DoH, DNS over HTTPS) durchzuführen. In der Version Chrome 78, die für den 22. Oktober geplant ist, werden einige Benutzer standardmäßig wurden DoH nutzen. An dem Experiment zur Aktivierung von DoH nehmen nur Benutzer teil, deren aktuelle Systemeinstellungen bestimmte DNS-Anbieter angegeben haben, die als mit DoH kompatibel anerkannt sind.

Auf der Whitelist der DNS-Anbieter stehen Dienste Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Cleanbrowsing (185.228.168.168, 185.228.169.168) und DNS.SB (185.222.222.222, 185.184.222.222). Wenn in den DNS-Einstellungen des Benutzers einer der oben genannten DNS-Server angegeben ist, wird DoH in Chrome standardmäßig aktiviert. Für diejenigen, die die von ihrem lokalen Internetanbieter bereitgestellten DNS-Server verwenden, bleibt alles unverändert, und es wird weiterhin der systemeigene Resolver für DNS-Abfragen verwendet.

Ein wichtiges Unterscheidungsmerkmal gegenüber der Einführung von DoH in Firefox, bei dem die schrittweise Aktivierung von DoH beginnt bereits Ende September, ist das Fehlen einer Bindung an einen einzelnen DoH-Dienst. Während in Firefox DoH standardmäßig genutzt. CloudFlare-DNS-Server aktualisiert in Chrome lediglich die Methode zur DNS-Verarbeitung auf einen entsprechenden Dienst, ohne den DNS-Anbieter zu wechseln. Beispielsweise, wenn der Benutzer in den Systemeinstellungen DNS 8.8.8.8 angegeben hat, wird in Chrome der der DoH-Dienst von Google («https://dns.google.com/dns-query»), wobei bei DNS — 1.1.1.1, der DoH-Dienst von Cloudflare («https://cloudflare-dns.com/dns-query») und usw.

Benutzer können DoH über die Einstellung «chrome://flags/#dns-over-https» aktivieren oder deaktivieren. Es werden drei Betriebsmodi unterstützt: «secure», «automatic» und «off». Im Modus «secure» werden Hosts ausschließlich auf der Grundlage zuvor zwischengespeicherter sicherer Werte (erhalten über eine gesicherte Verbindung) und Anfragen über DoH ermittelt, ein Rollback auf herkömmliches DNS erfolgt nicht. Im Modus «automatic» wird, wenn DoH und der gesicherte Cache nicht verfügbar sind, die Beschaffung von Daten aus unsicheren Caches und das Anfragen über traditionelles DNS zugelassen. Im Modus «off» wird zunächst der allgemeine Cache überprüft, und wenn keine Daten vorhanden sind, wird die Anfrage über das systemseitige DNS gesendet. Der Modus wird über die Einstellung kDnsOverHttpsMode festgelegt, während das Mustermatching für Server über kDnsOverHttpsTemplates erfolgt.

Das Experiment zur Aktivierung von DoH wird auf allen von Chrome unterstützten Plattformen durchgeführt, mit Ausnahme von Linux und iOS, da die Konfiguration des Resolvers komplex ist und der Zugriff auf die Systemeinstellungen für DNS eingeschränkt ist. Falls es nach der Aktivierung von DoH zu Problemen beim Senden von Anfragen an den DoH-Server kommt (zum Beispiel aufgrund von dessen Blockierung, Netzwerkstörungen oder Ausfällen), wird der Browser automatisch zu den Systemeinstellungen für DNS zurückkehren.

Ziel des Experiments ist die endgültige Überprüfung der Implementierung von DoH und die Untersuchung des Einflusses der Anwendung von DoH auf die Leistung. Es ist zu beachten, dass die Unterstützung von DoH tatsächlich bereits im Februar in den Quellcode von Chrome aufgenommen wurde, jedoch zur Konfiguration und Aktivierung von DoH hinzugefügt ein Start von Chrome mit einem speziellen Flag und einer nicht offensichtlichen Auswahl von Optionen erforderlich war. erforderlich die

Es sei daran erinnert, dass DoH nützlich sein kann, um das Leakage von Informationen über angeforderte Hostnamen durch die DNS-Server der Anbieter zu vermeiden, um MITM-Angriffe abzuwehren sowie DNS-Traffic-Manipulationen (zum Beispiel bei der Verbindung zu öffentlichen WLANs) entgegenzuwirken. Zudem hilft es, DNS-Sperren zu umgehen (DoH kann jedoch ein VPN nicht ersetzen, wenn es um das Umgehen von Sperren geht, die auf DPI-Ebene implementiert sind) oder die Funktionsweise zu organisieren, wenn ein direkter Zugriff auf DNS-Server nicht möglich ist (zum Beispiel bei der Nutzung eines Proxys). Während in einer normalen Situation DNS-Anfragen direkt an bestimmte in der Systemkonfiguration festgelegte DNS-Server gesendet werden, wird bei DoH die Anfrage zur Bestimmung der IP-Adresse des Hosts in HTTPS-Traffic einkapselt und an einen HTTP-Server gesendet, auf dem der Resolver die Anfragen über ein Web-API verarbeitet. Der bestehende Standard DNSSEC verwendet Verschlüsselung lediglich zur Authentifizierung des Clients und des Servers, schützt jedoch den Traffic nicht vor Abhörung und garantiert keine Vertraulichkeit der Anfragen.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster