Հետևելով Google ընկերությունը Chrome բրաուզերի համար մշակվող «DNS over HTTPS» (DoH, DNS over HTTPS) ներդրումը փորձարկելու մտադրության մասին: Chrome 78-ը, որը նախատեսված է հոկտեմբերի 22-ին, լռելյայն կունենա օգտատերերի որոշ կատեգորիաներ DoH օգտագործելու համար: Փորձին կմասնակցեն միայն այն օգտվողները, որոնց համակարգի ընթացիկ կարգավորումները նշում են որոշակի DNS մատակարարներ, որոնք ճանաչված են որպես DoH-ի հետ համատեղելի:
DNS մատակարարների սպիտակ ցուցակը ներառում է Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112 (185.228.168.168, 185.228.169.168) .185.222.222.222 185.184.222.222 , XNUMX) և DNS.SB (XNUMX, XNUMX): Եթե օգտատիրոջ DNS կարգավորումներում նշված է վերը նշված DNS սերվերներից մեկը, Chrome-ում DoH-ը լռելյայն միացված կլինի: Նրանց համար, ովքեր օգտագործում են իրենց տեղական ինտերնետ մատակարարի կողմից տրամադրված DNS սերվերները, ամեն ինչ կմնա անփոփոխ, և համակարգի լուծիչը կշարունակի օգտագործվել DNS հարցումների համար:
Կարևոր տարբերություն Firefox-ում DoH-ի ներդրումից, որն աստիճանաբար լռելյայն միացրեց DoH-ը արդեն սեպտեմբերի վերջին, մեկ DoH ծառայության համար պարտադիր չէ: Եթե լռելյայնորեն Firefox-ում CloudFlare DNS սերվերը, այնուհետև Chrome-ը միայն DNS-ի հետ աշխատելու մեթոդը կթարմացնի համարժեք ծառայության՝ առանց DNS մատակարարին փոխելու: Օրինակ, եթե օգտվողը ունի DNS 8.8.8.8 նշված համակարգի կարգավորումներում, ապա Chrome-ը Google DoH ծառայություն («https://dns.google.com/dns-query»), եթե DNS-ը 1.1.1.1 է, ապա Cloudflare DoH ծառայությունը («https://cloudflare-dns.com/dns-query») և
Ցանկության դեպքում օգտատերը կարող է միացնել կամ անջատել DoH-ը՝ օգտագործելով «chrome://flags/#dns-over-https» պարամետրը: Աջակցվում են երեք գործառնական ռեժիմներ՝ անվտանգ, ավտոմատ և անջատված: «Ապահով» ռեժիմում հոսթները որոշվում են միայն նախկինում պահված անվտանգ արժեքների հիման վրա (ստացված անվտանգ կապի միջոցով) և DoH-ի միջոցով հարցումների հիման վրա, սովորական DNS-ին վերադարձը չի կիրառվում: «Ավտոմատ» ռեժիմում, եթե DoH-ը և ապահով քեշը անհասանելի են, տվյալները կարող են առբերվել անապահով քեշից և մուտք գործել ավանդական DNS-ի միջոցով: «Անջատված» ռեժիմում նախ ստուգվում է ընդհանուր քեշը, և եթե տվյալներ չկան, հարցումն ուղարկվում է համակարգի DNS-ի միջոցով: Ռեժիմը սահմանվում է միջոցով kDnsOverHttpsMode և սերվերի քարտեզագրման ձևանմուշ kDnsOverHttpsTemplates-ի միջոցով:
DoH-ն միացնելու փորձը կիրականացվի Chrome-ում աջակցվող բոլոր հարթակներում, բացառությամբ Linux-ի և iOS-ի՝ լուծիչի կարգավորումների վերլուծության և համակարգի DNS կարգավորումների հասանելիությունը սահմանափակելու պատճառով: Եթե DoH-ն միացնելուց հետո DoH սերվերին հարցումներ ուղարկելիս խնդիրներ առաջանան (օրինակ՝ դրա արգելափակման, ցանցի միացման կամ ձախողման պատճառով), զննարկիչը ավտոմատ կերպով կվերադարձնի համակարգի DNS կարգավորումները:
Փորձի նպատակն է վերջնական փորձարկել DoH-ի իրականացումը և ուսումնասիրել DoH-ի օգտագործման ազդեցությունը կատարողականի վրա: Հարկ է նշել, որ իրականում ՊՆ աջակցությունը եղել է փետրվարին Chrome-ի կոդերի բազայի մեջ, բայց կարգավորելու և միացնելու DoH-ը Chrome-ի գործարկում հատուկ դրոշով և ոչ ակնհայտ ընտրանքների փաթեթով:
Հիշենք, որ DoH-ը կարող է օգտակար լինել պրովայդերների DNS սերվերների միջոցով պահանջվող հոսթների անունների մասին տեղեկատվության արտահոսքը կանխելու, MITM հարձակումների և DNS տրաֆիկի կեղծման դեմ (օրինակ՝ հանրային Wi-Fi-ին միանալիս), DNS-ում արգելափակմանը հակազդելու համար։ մակարդակը (DoH-ը չի կարող փոխարինել VPN-ին DPI մակարդակում իրականացվող արգելափակումը շրջանցելու տարածքում) կամ աշխատանքի կազմակերպման համար, եթե անհնար է ուղղակիորեն մուտք գործել DNS սերվերներ (օրինակ, վստահված անձի միջոցով աշխատելիս): Եթե նորմալ իրավիճակում DNS հարցումներն ուղղակիորեն ուղարկվում են համակարգի կազմաձևում սահմանված DNS սերվերներին, ապա DoH-ի դեպքում հյուրընկալողի IP հասցեն որոշելու հարցումը կցվում է HTTPS տրաֆիկի մեջ և ուղարկվում է HTTP սերվեր, որտեղ լուծիչը մշակում է: հարցումներ վեբ API-ի միջոցով: Գոյություն ունեցող DNSSEC ստանդարտը օգտագործում է կոդավորումը միայն հաճախորդի և սերվերի նույնականացման համար, սակայն չի պաշտպանում երթևեկությունը գաղտնալսումից և չի երաշխավորում հարցումների գաղտնիությունը:
Source: opennet.ru