Folgjend Google bedriuw oer de bedoeling om in eksperimint út te fieren om de ymplemintaasje "DNS oer HTTPS" (DoH, DNS oer HTTPS) te testen dy't ûntwikkele wurdt foar de Chrome-browser. Chrome 78, pland foar oktober 22nd, sil standert guon brûkerskategoryen hawwe om DoH te brûken. Allinnich brûkers wêrfan de hjoeddeistige systeemynstellingen bepaalde DNS-providers spesifisearje dy't wurde erkend as kompatibel mei DoH sille meidwaan oan it eksperimint om DoH yn te skeakeljen.
De wite list fan DNS-providers omfettet Google (8.8.8.8, 8.8.4.4), CloudFlare (1.1.1.1), Opendns (1.0.0.1), Quad208.67.222.222 (208.67.220.220 (9), CleanBrowsing (9.9.9.9. 149.112.112.112, 185.228.168.168) en DNS.SB (185.228.169.168, 185.222.222.222). As de DNS-ynstellingen fan 'e brûker ien fan' e hjirboppe neamde DNS-tsjinners oantsjutte, sil DoH yn Chrome standert ynskeakele wurde. Foar dyjingen dy't DNS-tsjinners brûke levere troch har lokale ynternetprovider, sil alles ûnferoare bliuwe en de systeemresolver sil trochgean wurde brûkt foar DNS-fragen.
In wichtich ferskil mei de ymplemintaasje fan DoH yn Firefox, dy't DoH stadichoan standert ynskeakele al oan 'e ein fan septimber, is it gebrek oan bining oan ien DoH tsjinst. As standert yn Firefox CloudFlare DNS-tsjinner, dan sil Chrome allinich de metoade fan wurkjen mei DNS bywurkje nei in lykweardige tsjinst, sûnder de DNS-provider te feroarjen. Bygelyks, as de brûker DNS 8.8.8.8 hat spesifisearre yn 'e systeemynstellingen, dan sil Chrome Google DoH-tsjinst ("https://dns.google.com/dns-query"), as DNS 1.1.1.1 is, dan Cloudflare DoH-tsjinst ("https://cloudflare-dns.com/dns-query") En
As jo wolle, kin de brûker DoH ynskeakelje of útskeakelje mei de ynstelling "chrome://flags/#dns-over-https". Trije bestjoeringsmodi wurde stipe: feilich, automatysk en út. Yn "feilige" modus wurde hosts allinich bepaald op basis fan earder yn 'e cache bewarre feilige wearden (ûntfongen fia in feilige ferbining) en oanfragen fia DoH; weromfal nei reguliere DNS wurdt net tapast. Yn 'e "automatyske" modus, as DoH en de feilige cache net beskikber binne, kinne gegevens wurde ophelle út it ûnfeilige cache en tagong fia tradisjonele DNS. Yn "út" modus wurdt de dielde cache earst kontrolearre en as der gjin gegevens binne, wurdt it fersyk fia it systeem DNS stjoerd. De modus wurdt ynsteld fia kDnsOverHttpsMode , en de tsjinner mapping sjabloan fia kDnsOverHttpsTemplates.
It eksperimint om DoH yn te skeakeljen sil wurde útfierd op alle platfoarms stipe yn Chrome, mei útsûndering fan Linux en iOS fanwegen de net-triviale aard fan it parsearjen fan resolverynstellingen en it beheinen fan tagong ta systeem DNS-ynstellingen. As d'r, nei it ynskeakeljen fan DoH, problemen binne mei it ferstjoeren fan fersiken nei de DoH-tsjinner (bygelyks fanwege it blokkearjen, netwurkferbining of mislearjen), sil de browser automatysk de DNS-ynstellingen fan it systeem weromjaan.
It doel fan it eksperimint is om de ymplemintaasje fan DoH definityf te testen en de ynfloed te studearjen fan it brûken fan DoH op prestaasjes. Dêrby moat opmurken wurde dat yn feite DoH-stipe wie yn 'e Chrome-koadebase werom yn febrewaris, mar om DoH te konfigurearjen en yn te skeakeljen Chrome lansearje mei in spesjale flagge en in net foar de hân lizzende set opsjes.
Lit ús ûnthâlde dat DoH nuttich kin wêze foar it foarkommen fan lekken fan ynformaasje oer de oanfrege hostnammen fia de DNS-tsjinners fan providers, it bestriden fan MITM-oanfallen en DNS-ferkearspoofing (bygelyks by ferbining mei iepenbiere Wi-Fi), tsjin blokkearjen by de DNS nivo (DoH kin gjin VPN ferfange op it mêd fan blokkearjen ymplementearre op DPI-nivo) of foar it organisearjen fan wurk as it ûnmooglik is om direkt tagong te krijen ta DNS-tsjinners (bygelyks as jo wurkje fia in proxy). As yn in normale situaasje DNS-oanfragen direkt stjoerd wurde nei DNS-tsjinners definieare yn 'e systeemkonfiguraasje, dan yn' t gefal fan DoH, wurdt it fersyk om it IP-adres fan 'e host te bepalen ynkapsele yn HTTPS-ferkear en stjoerd nei de HTTP-tsjinner, wêr't de resolver ferwurket oanfragen fia de Web API. De besteande DNSSEC-standert brûkt allinich fersifering om de kliïnt en tsjinner te autentisearjen, mar beskermet ferkear net tsjin ûnderskepping en garandearret net de fertroulikens fan oanfragen.
Boarne: opennet.ru