Swivan Google konpayi sou entansyon pou fè yon eksperyans pou teste aplikasyon "DNS sou HTTPS" (DoH, DNS sou HTTPS) k ap devlope pou navigatè Chrome la. Chrome 78, ki pwograme pou 22 oktòb, pral gen kèk kategori itilizatè pa default pou itilize DoH. Se sèlman itilizatè ki gen paramèt sistèm aktyèl yo presize sèten founisè DNS rekonèt kòm konpatib ak DoH ap patisipe nan eksperyans la pou pèmèt DoH.
Lis blan founisè DNS la gen ladan l Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Cleanbrowsing (185.228.168.168 185.228.169.168 , 185.222.222.222) ak DNS.SB (185.184.222.222, XNUMX). Si paramèt DNS itilizatè a presize youn nan sèvè dns yo mansyone anwo a, DoH nan Chrome pral aktive pa default. Pou moun ki sèvi ak sèvè DNS ki bay founisè Entènèt lokal yo, tout bagay ap rete san chanjman epi rezolisyon sistèm lan ap kontinye itilize pou demann DNS.
Yon diferans enpòtan nan aplikasyon DoH nan Firefox, ki piti piti pèmèt DoH pa default deja nan fen mwa septanm nan, se mank nan obligatwa nan yon sèl sèvis DoH. Si nan Firefox pa default CloudFlare DNS sèvè, Lè sa a, Chrome pral sèlman mete ajou metòd la nan travay ak dns nan yon sèvis ekivalan, san yo pa chanje founisè dns la. Pou egzanp, si itilizatè a gen DNS 8.8.8.8 espesifye nan anviwònman yo sistèm, Lè sa a, Chrome pral Sèvis Google DoH ("https://dns.google.com/dns-query"), si DNS se 1.1.1.1, Lè sa a, sèvis Cloudflare DoH ("https://cloudflare-dns.com/dns-query") Epi
Si ou vle, itilizatè a ka aktive oswa enfim DoH lè l sèvi avèk paramèt "chrome://flags/#dns-over-https". Twa mòd operasyon yo sipòte: sekirite, otomatik ak koupe. Nan mòd "sekirite", lame yo detèmine sèlman ki baze sou valè sekirite yo te deja kache (resevwa atravè yon koneksyon an sekirite) ak demann atravè DoH; repli nan DNS regilye yo pa aplike. Nan mòd "otomatik", si DoH ak kachèt an sekirite yo pa disponib, yo ka rekipere done nan kachèt ensekirite a epi yo ka jwenn aksè nan DNS tradisyonèl yo. Nan mòd "off", yo tcheke kachèt pataje an premye epi si pa gen okenn done, yo voye demann lan atravè DNS sistèm lan. Mòd la mete atravè kDnsOverHttpsMode , ak modèl kat sèvè a atravè kDnsOverHttpsTemplates.
Eksperyans pou pèmèt DoH pral fèt sou tout platfòm ki sipòte nan Chrome, eksepte Linux ak iOS akòz nati a ki pa trivial nan analize paramèt rezolvi ak restriksyon aksè nan anviwònman DNS sistèm. Si, apre yo fin pèmèt DoH, gen pwoblèm pou voye demann nan sèvè DoH (pa egzanp, akòz bloke li yo, koneksyon rezo a oswa echèk), navigatè a ap retounen otomatikman paramèt DNS sistèm lan.
Objektif eksperyans la se teste final aplikasyon DoH epi etidye enpak lè l sèvi avèk DoH sou pèfòmans. Li ta dwe remake ke an reyalite sipò DoH te nan kodbaz Chrome tounen nan mwa fevriye, men konfigirasyon ak pèmèt DoH lanse Chrome ak yon drapo espesyal ak yon seri opsyon ki pa evidan.
Se pou nou sonje ke DoH ka itil pou anpeche fwit enfòmasyon sou non lame yo mande yo atravè sèvè DNS founisè yo, konbat atak MITM ak DNS trafik spoofing (pa egzanp, lè w konekte ak Wi-Fi piblik), kontrekare bloke nan DNS la. nivo (DoH pa ka ranplase yon vpn nan zòn nan kontourne bloke aplike nan nivo DPI) oswa pou òganize travay si li enposib jwenn aksè dirèkteman nan sèvè DNS (pa egzanp, lè w ap travay atravè yon prokurasyon). Si nan yon sitiyasyon nòmal demann DNS yo voye dirèkteman nan sèvè dns defini nan konfigirasyon sistèm lan, Lè sa a, nan ka a nan DoH, demann lan pou detèmine adrès IP lame a encapsulé nan trafik HTTPS epi voye bay sèvè HTTP a, kote rezolisyon an ap travay. demann atravè API Web la. Estanda DNSSEC ki deja egziste a sèvi ak chifreman sèlman pou otantifye kliyan an ak sèvè, men li pa pwoteje trafik kont entèsepsyon epi li pa garanti konfidansyalite demann yo.
Sous: opennet.ru