Következő Google cég a Chrome böngészőhöz fejlesztés alatt álló „DNS over HTTPS” (DoH, DNS over HTTPS) megvalósításának kísérleti szándékáról. Az október 78-re tervezett Chrome 22-nak alapértelmezés szerint lesz néhány felhasználói kategóriája a DoH használatához. Csak azok a felhasználók vesznek részt a DoH engedélyezésére irányuló kísérletben, akiknek a jelenlegi rendszerbeállításai bizonyos, a DoH-val kompatibilis DNS-szolgáltatókat határoznak meg.
A DNS-szolgáltatók fehér listája tartalmazza Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112. 185.228.168.168 185.228.169.168 , 185.222.222.222) és DNS.SB (185.184.222.222, XNUMX). Ha a felhasználó DNS-beállításai megadják a fent említett DNS-kiszolgálók egyikét, a Chrome-ban alapértelmezés szerint a DoH aktiválódik. Azok számára, akik a helyi internetszolgáltató által biztosított DNS-kiszolgálókat használják, minden változatlan marad, és továbbra is a rendszerfeloldót használják a DNS-lekérdezésekhez.
Fontos különbség a DoH Firefoxban való megvalósításához képest, amely alapértelmezés szerint fokozatosan engedélyezte a DoH-t már szeptember végén hiányzik az egyetlen DoH szolgáltatáshoz való kötődés. Ha alapértelmezés szerint Firefoxban CloudFlare DNS-kiszolgáló, akkor a Chrome csak a DNS-sel való munkamódszert frissíti egy egyenértékű szolgáltatásra, anélkül, hogy megváltoztatná a DNS-szolgáltatót. Például, ha a felhasználó DNS 8.8.8.8-val rendelkezik a rendszerbeállításokban, akkor a Chrome ezt megteszi Google DoH szolgáltatás („https://dns.google.com/dns-query”), ha a DNS 1.1.1.1, akkor a Cloudflare DoH szolgáltatás („https://cloudflare-dns.com/dns-query”) és
Kívánt esetben a felhasználó engedélyezheti vagy letilthatja a DoH-t a „chrome://flags/#dns-over-https” beállítással. Három üzemmód támogatott: biztonságos, automatikus és kikapcsolt. „Biztonságos” módban a gazdagépek meghatározása csak a korábban gyorsítótárazott (biztonságos kapcsolaton keresztül kapott) biztonságos értékek és a DoH-n keresztüli kérések alapján történik; a rendszer nem alkalmazza a normál DNS-re való visszaállást. „Automatikus” módban, ha a DoH és a biztonságos gyorsítótár nem érhető el, az adatok lekérhetők a nem biztonságos gyorsítótárból, és a hagyományos DNS-en keresztül érhetők el. Kikapcsolt módban először a megosztott gyorsítótárat ellenőrzik, és ha nincs adat, akkor a rendszer DNS-en keresztül küldi el a kérést. Az üzemmód beállítása a következőn keresztül történik kDnsOverHttpsMode és a szerver leképezési sablon a kDnsOverHttpsTemplates segítségével.
A DoH engedélyezésére irányuló kísérletet a Chrome által támogatott összes platformon végrehajtják, kivéve a Linuxot és az iOS-t, a feloldóbeállítások elemzésének nem triviális jellege és a rendszer DNS-beállításaihoz való hozzáférés korlátozása miatt. Ha a DoH engedélyezése után problémák merülnek fel a DoH-szerver felé irányuló kérések elküldésében (például annak blokkolása, hálózati csatlakozása vagy meghibásodása miatt), a böngésző automatikusan visszaadja a rendszer DNS-beállításait.
A kísérlet célja a DoH megvalósításának végső tesztelése és a DoH használatának a teljesítményre gyakorolt hatásának vizsgálata. Meg kell jegyezni, hogy valójában a DoH támogatása volt februárban a Chrome kódbázisába, de a DoH konfigurálásához és engedélyezéséhez a Chrome elindítása egy speciális zászlóval és egy nem nyilvánvaló opciókészlettel.
Emlékezzünk vissza, hogy a DoH hasznos lehet a kért gazdagépnevekre vonatkozó információ kiszivárogtatásának megakadályozására a szolgáltatók DNS-kiszolgálóin keresztül, a MITM-támadások és a DNS-forgalom meghamisítása elleni küzdelemben (például nyilvános Wi-Fi-hez való csatlakozáskor), a DNS-blokkolások elleni küzdelemben. szinten (a DoH nem helyettesítheti a VPN-t a DPI-szinten megvalósított blokkolás megkerülésének területén) vagy a munka megszervezéséhez, ha lehetetlen közvetlenül elérni a DNS-kiszolgálókat (például proxy-n keresztül végzett munka során). Ha normál helyzetben a DNS kérések közvetlenül a rendszerkonfigurációban meghatározott DNS szerverekhez kerülnek, akkor DoH esetén a gazdagép IP-címének meghatározására irányuló kérés HTTPS forgalomba kerül, és elküldésre kerül a HTTP szerverre, ahol a feloldó feldolgozza. kéréseket a webes API-n keresztül. A meglévő DNSSEC szabvány csak a kliens és a szerver hitelesítésére használ titkosítást, de nem védi a forgalmat az elfogástól, és nem garantálja a kérések bizalmasságát.
Forrás: opennet.ru