ΕΠΟΜΕΝΟ εταιρεία Google σχετικά με την πρόθεση διεξαγωγής ενός πειράματος για τη δοκιμή της εφαρμογής "DNS μέσω HTTPS" (DoH, DNS μέσω HTTPS) που αναπτύσσεται για το πρόγραμμα περιήγησης Chrome. Το Chrome 78, που έχει προγραμματιστεί για τις 22 Οκτωβρίου, θα έχει ορισμένες κατηγορίες χρηστών από προεπιλογή για χρήση DoH. Μόνο οι χρήστες των οποίων οι τρέχουσες ρυθμίσεις συστήματος καθορίζουν ορισμένους παρόχους DNS που αναγνωρίζονται ως συμβατοί με το DoH θα λάβουν μέρος στο πείραμα για να ενεργοποιήσουν το DoH.
Η λευκή λίστα των παρόχων DNS περιλαμβάνει Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112, 185.228.168.168. .185.228.169.168 185.222.222.222 , 185.184.222.222) και DNS.SB (XNUMX, XNUMX). Εάν οι ρυθμίσεις DNS του χρήστη καθορίζουν έναν από τους προαναφερθέντες διακομιστές DNS, το DoH στο Chrome θα ενεργοποιηθεί από προεπιλογή. Για όσους χρησιμοποιούν διακομιστές DNS που παρέχονται από τον τοπικό πάροχο Διαδικτύου τους, όλα θα παραμείνουν αμετάβλητα και η συσκευή επίλυσης συστήματος θα συνεχίσει να χρησιμοποιείται για ερωτήματα DNS.
Μια σημαντική διαφορά από την υλοποίηση του DoH στον Firefox, που σταδιακά ενεργοποίησε το DoH από προεπιλογή ήδη στα τέλη Σεπτεμβρίου, είναι η έλλειψη δέσμευσης σε μία υπηρεσία DoH. Εάν είναι στο Firefox από προεπιλογή Διακομιστής CloudFlare DNS, τότε το Chrome θα ενημερώσει μόνο τη μέθοδο εργασίας με DNS σε μια αντίστοιχη υπηρεσία, χωρίς να αλλάξει τον πάροχο DNS. Για παράδειγμα, εάν ο χρήστης έχει το DNS 8.8.8.8 που έχει καθοριστεί στις ρυθμίσεις συστήματος, τότε το Chrome θα Υπηρεσία DoH Google (“https://dns.google.com/dns-query”), εάν το DNS είναι 1.1.1.1, τότε η υπηρεσία Cloudflare DoH (“https://cloudflare-dns.com/dns-query”) και
Εάν το επιθυμεί, ο χρήστης μπορεί να ενεργοποιήσει ή να απενεργοποιήσει το DoH χρησιμοποιώντας τη ρύθμιση "chrome://flags/#dns-over-https". Υποστηρίζονται τρεις τρόποι λειτουργίας: ασφαλής, αυτόματη και απενεργοποιημένη. Στη λειτουργία "ασφαλούς", οι κεντρικοί υπολογιστές καθορίζονται μόνο με βάση τις ασφαλείς τιμές που έχουν αποθηκευτεί προηγουμένως στην προσωρινή μνήμη (που ελήφθησαν μέσω ασφαλούς σύνδεσης) και αιτήματα μέσω DoH. Δεν εφαρμόζεται εναλλακτική επιστροφή σε κανονικό DNS. Στην "αυτόματη" λειτουργία, εάν το DoH και η ασφαλής κρυφή μνήμη δεν είναι διαθέσιμα, τα δεδομένα μπορούν να ανακτηθούν από την μη ασφαλή κρυφή μνήμη και να προσπελαστούν μέσω του παραδοσιακού DNS. Στη λειτουργία "off", ελέγχεται πρώτα η κοινόχρηστη κρυφή μνήμη και εάν δεν υπάρχουν δεδομένα, το αίτημα αποστέλλεται μέσω του DNS του συστήματος. Η λειτουργία ρυθμίζεται μέσω kDnsOverHttpsMode και το πρότυπο αντιστοίχισης διακομιστή μέσω των kDnsOverHttpsTemplates.
Το πείραμα για την ενεργοποίηση του DoH θα πραγματοποιηθεί σε όλες τις πλατφόρμες που υποστηρίζονται στο Chrome, με εξαίρεση το Linux και το iOS λόγω της μη τετριμμένης φύσης των ρυθμίσεων ανάλυσης ανάλυσης και του περιορισμού της πρόσβασης στις ρυθμίσεις DNS του συστήματος. Εάν, μετά την ενεργοποίηση του DoH, υπάρχουν προβλήματα με την αποστολή αιτημάτων στον διακομιστή DoH (για παράδειγμα, λόγω αποκλεισμού, συνδεσιμότητας δικτύου ή αποτυχίας), το πρόγραμμα περιήγησης θα επιστρέψει αυτόματα τις ρυθμίσεις DNS του συστήματος.
Σκοπός του πειράματος είναι η τελική δοκιμή της εφαρμογής του DoH και η μελέτη του αντίκτυπου της χρήσης DoH στην απόδοση. Πρέπει να σημειωθεί ότι στην πραγματικότητα η υποστήριξη του Υπουργείου Υγείας ήταν στη βάση κώδικα του Chrome τον Φεβρουάριο, αλλά για να ρυθμίσετε και να ενεργοποιήσετε το DoH εκκίνηση του Chrome με μια ειδική σημαία και ένα μη προφανές σύνολο επιλογών.
Ας υπενθυμίσουμε ότι το DoH μπορεί να είναι χρήσιμο για την αποτροπή διαρροών πληροφοριών σχετικά με τα ζητούμενα ονόματα κεντρικών υπολογιστών μέσω των διακομιστών DNS των παρόχων, την καταπολέμηση των επιθέσεων MITM και της πλαστογράφησης της κυκλοφορίας DNS (για παράδειγμα, κατά τη σύνδεση σε δημόσιο Wi-Fi), την αντιμετώπιση του αποκλεισμού στο DNS επίπεδο (Το DoH δεν μπορεί να αντικαταστήσει ένα VPN στην περιοχή της παράκαμψης αποκλεισμού που εφαρμόζεται σε επίπεδο DPI) ή για την οργάνωση εργασίας εάν είναι αδύνατη η άμεση πρόσβαση σε διακομιστές DNS (για παράδειγμα, όταν εργάζεστε μέσω διακομιστή μεσολάβησης). Εάν σε μια κανονική κατάσταση τα αιτήματα DNS αποστέλλονται απευθείας σε διακομιστές DNS που ορίζονται στη διαμόρφωση του συστήματος, τότε στην περίπτωση του DoH, το αίτημα για τον προσδιορισμό της διεύθυνσης IP του κεντρικού υπολογιστή ενσωματώνεται στην κυκλοφορία HTTPS και αποστέλλεται στον διακομιστή HTTP, όπου επεξεργάζεται ο επιλύτης αιτήματα μέσω του Web API. Το υπάρχον πρότυπο DNSSEC χρησιμοποιεί κρυπτογράφηση μόνο για τον έλεγχο ταυτότητας του πελάτη και του διακομιστή, αλλά δεν προστατεύει την κυκλοφορία από την παρακολούθηση και δεν εγγυάται την εμπιστευτικότητα των αιτημάτων.
Πηγή: opennet.ru