Järgnev Google'i ettevõte kavatsusest viia läbi eksperiment, et testida Chrome'i brauseri jaoks arendatavat rakendust „DNS over HTTPS” (DoH, DNS over HTTPS). 78. oktoobriks kavandatud Chrome 22-l on vaikimisi mõned kasutajakategooriad DoH kasutamiseks. DoH lubamise katses osalevad ainult kasutajad, kelle praegused süsteemiseaded määravad teatud DNS-i pakkujad, mis on tunnistatud DoH-ga ühilduvaks.
DNS-i pakkujate valge nimekiri sisaldab Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112rows185.228.168.168 (185.228.169.168) . 185.222.222.222, 185.184.222.222) ja DNS.SB (XNUMX, XNUMX). Kui kasutaja DNS-i seaded määravad ühe ülalnimetatud DNS-serveritest, on DoH Chrome'is vaikimisi lubatud. Nende jaoks, kes kasutavad oma kohaliku Interneti-teenuse pakkuja pakutavaid DNS-servereid, jääb kõik muutumatuks ja DNS-päringute jaoks kasutatakse süsteemi lahendajat.
Oluline erinevus DoH rakendamisest Firefoxis, mis lubas DoH vaikimisi järk-järgult juba septembri lõpus on ühe DoH teenusega sidumise puudumine. Kui vaikimisi Firefoxis CloudFlare DNS-server, värskendab Chrome ainult DNS-iga töötamise meetodit samaväärse teenusega, ilma DNS-i pakkujat muutmata. Näiteks kui kasutajal on süsteemiseadetes määratud DNS 8.8.8.8, siis Chrome teeb seda Google DoH teenus (“https://dns.google.com/dns-query”), kui DNS on 1.1.1.1, siis Cloudflare DoH teenus (“https://cloudflare-dns.com/dns-query”) ja
Soovi korral saab kasutaja DoH lubada või keelata, kasutades seadet „chrome://flags/#dns-over-https”. Toetatud on kolm töörežiimi: turvaline, automaatne ja välja lülitatud. Turvarežiimis määratakse hostid ainult eelnevalt vahemällu salvestatud turvaliste väärtuste (saadud turvalise ühenduse kaudu) ja DoH kaudu päringute põhjal; tavalist DNS-i ei rakendata. Kui DoH ja turvaline vahemälu pole "automaatses" režiimis saadaval, saab andmeid hankida ebaturvalisest vahemälust ja pääseda juurde traditsioonilise DNS-i kaudu. Väljalülitatud režiimis kontrollitakse esmalt jagatud vahemälu ja andmete puudumisel saadetakse päring süsteemi DNS-i kaudu. Režiim on seatud kaudu kDnsOverHttpsMode ja serveri vastendusmall kDnsOverHttpsTemplatesi kaudu.
DoH lubamise katse viiakse läbi kõigil Chrome'i toetatud platvormidel, välja arvatud Linux ja iOS, kuna lahendaja seadete sõelumine ja juurdepääsu piiramine süsteemi DNS-sätetele ei ole triviaalne. Kui pärast DoH-i lubamist tekib DoH-serverile päringute saatmisel probleeme (näiteks selle blokeerimise, võrguühenduse või rikke tõttu), tagastab brauser automaatselt süsteemi DNS-i sätted.
Katse eesmärk on lõplikult testida DoH rakendamist ja uurida DoH kasutamise mõju jõudlusele. Tuleb märkida, et tegelikult DoH toetus oli veebruaris Chrome'i koodibaasi, kuid DoH konfigureerimiseks ja lubamiseks Chrome'i käivitamine spetsiaalse lipu ja ebaselgete valikute komplektiga.
Tuletagem meelde, et DoH võib olla kasulik taotletud hostinimede teabelekke ärahoidmiseks pakkujate DNS-serverite kaudu, MITM-i rünnakute ja DNS-i liikluse võltsimise vastu võitlemiseks (näiteks avaliku Wi-Fi-ga ühenduse loomisel), DNS-i blokeerimise vastu võitlemiseks. tasemel (DoH ei saa asendada VPN-i DPI tasemel rakendatud blokeerimisest möödahiilimise valdkonnas) või töö korraldamiseks, kui DNS-serveritele pole otsene juurdepääs (näiteks puhverserveri kaudu töötades). Kui tavaolukorras saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritele, siis DoH-i puhul kapseldatakse hosti IP-aadressi määramise päring HTTPS-liiklusse ja saadetakse HTTP-serverisse, kus lahendaja töötleb. päringuid veebi API kaudu. Olemasolev DNSSEC-standard kasutab krüptimist ainult kliendi ja serveri autentimiseks, kuid ei kaitse liiklust pealtkuulamise eest ega garanteeri päringute konfidentsiaalsust.
Allikas: opennet.ru