Praćenje tvrtka Google o namjeri provođenja eksperimenta za testiranje implementacije "DNS preko HTTPS" (DoH, DNS preko HTTPS) koja se razvija za preglednik Chrome. Chrome 78, zakazan za 22. listopada, prema zadanim će postavkama imati neke kategorije korisnika koristiti DoH. Samo korisnici čije trenutne postavke sustava određuju određene DNS pružatelje koji su prepoznati kao kompatibilni s DoH-om sudjelovat će u eksperimentu za omogućavanje DoH-a.
Bijela lista DNS pružatelja uključuje Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Cleanbrowsing (185.228.168.168) 185.228.169.168 , 185.222.222.222) i DNS.SB (185.184.222.222, XNUMX). Ako korisničke DNS postavke određuju jedan od gore navedenih DNS poslužitelja, DoH u Chromeu bit će aktiviran prema zadanim postavkama. Za one koji koriste DNS poslužitelje koje im pruža njihov lokalni pružatelj internetskih usluga, sve će ostati nepromijenjeno, a razrješivač sustava će se i dalje koristiti za DNS upite.
Važna razlika u odnosu na implementaciju DoH-a u Firefoxu, koji je postupno omogućio DoH prema zadanim postavkama već krajem rujna je nepostojanje vezanosti za jednu DoH uslugu. Ako je u Firefoxu prema zadanim postavkama CloudFlare DNS poslužitelj, tada će Chrome samo ažurirati metodu rada s DNS-om na ekvivalentnu uslugu, bez promjene DNS davatelja. Na primjer, ako korisnik ima DNS 8.8.8.8 naveden u postavkama sustava, tada će Chrome Google DoH usluga ("https://dns.google.com/dns-query"), ako je DNS 1.1.1.1, onda Cloudflare DoH usluga ("https://cloudflare-dns.com/dns-query") I
Ako želi, korisnik može omogućiti ili onemogućiti DoH pomoću postavke "chrome://flags/#dns-over-https". Podržana su tri načina rada: siguran, automatski i isključen. U "sigurnom" načinu rada, hostovi se određuju samo na temelju prethodno spremljenih sigurnih vrijednosti (primljenih putem sigurne veze) i zahtjeva putem DoH-a; ne primjenjuje se povratak na obični DNS. U "automatskom" načinu rada, ako DoH i sigurna predmemorija nisu dostupni, podaci se mogu dohvatiti iz nesigurne predmemorije i pristupiti im putem tradicionalnog DNS-a. U “off” modu, zajednički cache se prvo provjerava i ako nema podataka, zahtjev se šalje kroz DNS sustava. Način se postavlja putem kDnsOverHttpsMode i predložak mapiranja poslužitelja putem kDnsOverHttpsTemplates.
Eksperiment za omogućavanje DoH-a provest će se na svim platformama podržanim u Chromeu, s izuzetkom Linuxa i iOS-a zbog netrivijalne prirode raščlanjivanja postavki razrješitelja i ograničavanja pristupa DNS postavkama sustava. Ako nakon uključivanja DoH-a postoje problemi sa slanjem zahtjeva DoH poslužitelju (na primjer, zbog njegovog blokiranja, mrežne povezanosti ili kvara), preglednik će automatski vratiti DNS postavke sustava.
Svrha eksperimenta je konačno testiranje implementacije DoH-a i proučavanje utjecaja korištenja DoH-a na performanse. Treba napomenuti da je zapravo DoH podrška bila u Chrome bazu kodova još u veljači, ali za konfiguriranje i omogućavanje DoH-a pokretanje Chromea s posebnom zastavicom i neočitim skupom opcija.
Podsjetimo se da DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hostova kroz DNS poslužitelje pružatelja usluga, borbu protiv MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranja na DNS-u. razini (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na razini DPI) ili za organizaciju rada ako je nemoguće izravno pristupiti DNS poslužiteljima (na primjer, kada radite putem proxyja). Ako se u normalnoj situaciji DNS zahtjevi šalju izravno na DNS poslužitelje definirane u konfiguraciji sustava, tada se u slučaju DoH-a zahtjev za određivanje IP adrese glavnog računala enkapsulira u HTTPS promet i šalje HTTP poslužitelju, gdje rezolver obrađuje zahtjeva putem Web API-ja. Postojeći DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i poslužitelja, ali ne štiti promet od presretanja i ne jamči povjerljivost zahtjeva.
Izvor: opennet.ru