ذیل شرکت گوگل در مورد قصد انجام آزمایشی برای آزمایش اجرای «DNS over HTTPS» (DoH, DNS over HTTPS) که برای مرورگر کروم در حال توسعه است. کروم 78 که برای 22 اکتبر برنامه ریزی شده است، به طور پیش فرض دارای دسته بندی های کاربری است برای استفاده از DoH فقط کاربرانی که تنظیمات فعلی سیستم آنها ارائه دهندگان DNS خاصی را که به عنوان سازگار با DoH شناخته شده اند مشخص می کند، در آزمایش فعال کردن DoH شرکت می کنند.
لیست سفید ارائه دهندگان DNS شامل Google (8.8.8.8، 8.8.4.4)، Cloudflare (1.1.1.1، 1.0.0.1)، OpenDNS (208.67.222.222، 208.67.220.220)، Quad9 (9.9.9.9، 149.112.112.112 (185.228.168.168، 185.228.169.168، 185.222.222.222) 185.184.222.222. XNUMX، XNUMX) و DNS.SB (XNUMX، XNUMX). اگر تنظیمات DNS کاربر یکی از سرورهای DNS ذکر شده در بالا را مشخص کند، DoH در Chrome به طور پیشفرض فعال میشود. برای کسانی که از سرورهای DNS ارائهشده توسط ارائهدهنده اینترنت محلی خود استفاده میکنند، همه چیز بدون تغییر باقی میماند و حلکننده سیستم همچنان برای درخواستهای DNS استفاده میشود.
یک تفاوت مهم با اجرای DoH در فایرفاکس که به تدریج DoH را به طور پیش فرض فعال کرد در حال حاضر در پایان ماه سپتامبر، عدم الزام آور به یک سرویس DoH است. اگر به طور پیش فرض در فایرفاکس باشد سرور DNS CloudFlare، سپس کروم فقط روش کار با DNS را به یک سرویس معادل بهروزرسانی میکند، بدون اینکه ارائهدهنده DNS را تغییر دهد. برای مثال، اگر کاربر DNS 8.8.8.8 را در تنظیمات سیستم مشخص کرده باشد، Chrome سرویس Google DoH ("https://dns.google.com/dns-query")، اگر DNS 1.1.1.1 است، سرویس Cloudflare DoH ("https://cloudflare-dns.com/dns-query") و
در صورت تمایل، کاربر می تواند DoH را با استفاده از تنظیمات "chrome://flags/#dns-over-https" فعال یا غیرفعال کند. سه حالت عملیاتی پشتیبانی می شود: ایمن، خودکار و خاموش. در حالت "امن"، هاست ها فقط بر اساس مقادیر ایمن ذخیره شده قبلی (دریافت شده از طریق یک اتصال امن) و درخواست ها از طریق DoH تعیین می شوند؛ بازگشت به DNS معمولی اعمال نمی شود. در حالت "خودکار"، اگر DoH و حافظه پنهان امن در دسترس نباشند، داده ها را می توان از کش ناامن بازیابی کرد و از طریق DNS سنتی به آنها دسترسی داشت. در حالت خاموش، ابتدا کش اشتراکی بررسی می شود و در صورت عدم وجود داده، درخواست از طریق DNS سیستم ارسال می شود. حالت از طریق تنظیم می شود kDnsOverHttpsMode و الگوی نگاشت سرور از طریق kDnsOverHttpsTemplates.
آزمایش فعال کردن DoH بر روی تمام پلتفرمهای پشتیبانی شده در کروم انجام میشود، به استثنای Linux و iOS به دلیل ماهیت غیر پیش پا افتاده تنظیمات تجزیهکننده تجزیهکننده و محدود کردن دسترسی به تنظیمات DNS سیستم. اگر پس از فعال کردن DoH، مشکلی در ارسال درخواست به سرور DoH وجود داشته باشد (به عنوان مثال، به دلیل مسدود شدن، اتصال به شبکه یا خرابی)، مرورگر به طور خودکار تنظیمات DNS سیستم را برمی گرداند.
هدف از آزمایش آزمایش نهایی اجرای DoH و بررسی تأثیر استفاده از DoH بر عملکرد است. لازم به ذکر است که در واقع پشتیبانی وزارت بهداشت بوده است در ماه فوریه وارد پایگاه کد کروم شد، اما برای پیکربندی و فعال کردن DoH راه اندازی Chrome با یک پرچم خاص و مجموعه ای از گزینه های غیر واضح.
بیایید به یاد بیاوریم که DoH می تواند برای جلوگیری از درز اطلاعات در مورد نام میزبان درخواستی از طریق سرورهای DNS ارائه دهندگان، مبارزه با حملات MITM و جعل ترافیک DNS (به عنوان مثال، هنگام اتصال به Wi-Fi عمومی)، مقابله با مسدود کردن در DNS مفید باشد. سطح (DoH نمی تواند VPN را در منطقه دور زدن مسدودسازی اجرا شده در سطح DPI جایگزین کند) یا برای سازماندهی کار اگر دسترسی مستقیم به سرورهای DNS غیرممکن باشد (به عنوان مثال هنگام کار از طریق یک پروکسی). اگر در شرایط عادی درخواستهای DNS مستقیماً به سرورهای DNS تعریف شده در پیکربندی سیستم ارسال میشوند، در مورد DoH، درخواست تعیین آدرس IP میزبان در ترافیک HTTPS کپسوله میشود و به سرور HTTP ارسال میشود، جایی که حلکننده پردازش میکند. درخواست از طریق Web API. استاندارد موجود DNSSEC از رمزگذاری فقط برای احراز هویت مشتری و سرور استفاده می کند، اما از ترافیک در برابر رهگیری محافظت نمی کند و محرمانه بودن درخواست ها را تضمین نمی کند.
منبع: opennet.ru