Seurata Google-yhtiö aikomuksesta tehdä kokeilu, jolla testataan Chrome-selaimelle kehitettävää "DNS over HTTPS" (DoH, DNS over HTTPS) -toteutusta. Chrome 78:ssa, joka julkaistaan 22. lokakuuta, on oletuksena joitain käyttäjäluokkia käyttää DoH:ta. Vain käyttäjät, joiden nykyiset järjestelmäasetukset määrittävät tietyt DoH:n kanssa yhteensopiviksi tunnistetut DNS-palveluntarjoajat, osallistuvat DoH:n käyttöönottoa koskevaan kokeiluun.
DNS-palveluntarjoajien valkoinen lista sisältää Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112 rows185.228.168.168 (185.228.169.168). . 185.222.222.222, 185.184.222.222) ja DNS.SB (XNUMX, XNUMX). Jos käyttäjän DNS-asetuksissa on määritetty jokin yllä mainituista DNS-palvelimista, DoH Chromessa aktivoituu oletuksena. Niille, jotka käyttävät paikallisen Internet-palveluntarjoajansa DNS-palvelimia, kaikki säilyy ennallaan ja järjestelmän ratkaisijaa käytetään edelleen DNS-kyselyihin.
Tärkeä ero DoH:n toteuttamiseen Firefoxissa, joka asteittain otti DoH:n käyttöön oletuksena jo syyskuun lopussa on yhden DoH-palvelun sitomisen puute. Jos Firefoxissa oletuksena CloudFlare DNS-palvelin, Chrome päivittää vain DNS-työskentelytavan vastaavaan palveluun vaihtamatta DNS-palveluntarjoajaa. Jos käyttäjällä on esimerkiksi järjestelmäasetuksissa määritetty DNS 8.8.8.8, Chrome tekee sen Google DoH -palvelu ("https://dns.google.com/dns-query"), jos DNS on 1.1.1.1, niin Cloudflare DoH -palvelu ("https://cloudflare-dns.com/dns-query") ja
Käyttäjä voi halutessaan ottaa DoH:n käyttöön tai poistaa sen käytöstä "chrome://flags/#dns-over-https"-asetuksen avulla. Kolmea käyttötilaa tuetaan: suojattu, automaattinen ja pois päältä. "Suojatussa" tilassa isännät määritetään vain aiemmin välimuistissa olevien suojattujen arvojen (saanutaan suojatun yhteyden kautta) ja DoH:n kautta tehtyjen pyyntöjen perusteella; palautusta tavalliseen DNS:ään ei käytetä. Jos DoH ja suojattu välimuisti eivät ole käytettävissä "automaattisessa" tilassa, tiedot voidaan hakea suojaamattomasta välimuistista ja käyttää perinteisen DNS:n kautta. Pois päältä -tilassa jaettu välimuisti tarkistetaan ensin ja jos tietoja ei ole, pyyntö lähetetään järjestelmän DNS:n kautta. Tila asetetaan kautta kDnsOverHttpsMode ja palvelimen kartoitusmalli kDnsOverHttpsTemplatesin kautta.
Kokeilu DoH:n käyttöönottamiseksi suoritetaan kaikilla Chromen tukemilla alustoilla, lukuun ottamatta Linuxia ja iOS:a, koska ratkaisija-asetusten jäsennys ei ole triviaalia ja järjestelmän DNS-asetuksiin pääsyä rajoitetaan. Jos DoH:n käyttöönoton jälkeen pyyntöjen lähettämisessä DoH-palvelimelle on ongelmia (esimerkiksi sen eston, verkkoyhteyden tai vian vuoksi), selain palauttaa automaattisesti järjestelmän DNS-asetukset.
Kokeen tarkoituksena on testata lopullisesti DoH:n toteutusta ja tutkia DoH:n käytön vaikutusta suorituskykyyn. On huomattava, että itse asiassa DoH:n tuki oli Chrome-koodikantaan helmikuussa, mutta DoH:n määrittämistä ja käyttöönottoa varten Chromen käynnistäminen erityisellä lipulla ja epäselvällä vaihtoehdolla.
Muistetaan, että DoH voi olla hyödyllinen estämään pyydettyjä isäntänimiä koskevien tietojen vuotaminen palveluntarjoajien DNS-palvelimien kautta, torjumaan MITM-hyökkäyksiä ja DNS-liikenteen huijausta (esimerkiksi yhdistettäessä julkiseen Wi-Fi-verkkoon), estämään DNS-estoja. tasolla (DoH ei voi korvata VPN:ää DPI-tasolla toteutetun eston ohituksen alueella) tai työn järjestämiseen, jos DNS-palvelimiin ei pääse suoraan (esimerkiksi välityspalvelimen kautta). Jos normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmäkokoonpanossa määritellyille DNS-palvelimille, niin DoH:n tapauksessa isännän IP-osoitteen määrittäminen pyyntö kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa ratkaiseja käsittelee. pyyntöjä Web API:n kautta. Nykyinen DNSSEC-standardi käyttää salausta vain asiakkaan ja palvelimen todentamiseen, mutta se ei suojaa liikennettä sieppaukselta eikä takaa pyyntöjen luottamuksellisuutta.
Lähde: opennet.ru