Á eftir Google fyrirtæki um áform um að gera tilraun til að prófa „DNS yfir HTTPS“ (DoH, DNS yfir HTTPS) útfærslu sem verið er að þróa fyrir Chrome vafra. Chrome 78, sem á að vera 22. október, mun sjálfgefið hafa nokkra notendaflokka að nota DoH. Aðeins notendur með núverandi kerfisstillingar sem tilgreina ákveðnar DNS veitur sem eru viðurkenndar sem samhæfar við DoH munu taka þátt í tilrauninni til að virkja DoH.
Hvíti listinn yfir DNS veitendur inniheldur Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220). 9 , 9.9.9.9) og DNS.SB (149.112.112.112, 185.228.168.168). Ef DNS stillingar notandans tilgreina einn af ofangreindum DNS netþjónum, verður DoH í Chrome sjálfgefið virkt. Fyrir þá sem nota DNS netþjóna sem staðbundin netveita veitir, mun allt haldast óbreytt og kerfislausnarinn verður áfram notaður fyrir DNS fyrirspurnir.
Mikilvægur munur frá innleiðingu DoH í Firefox, sem smám saman virkjaði DoH sjálfgefið þegar í lok september, er skortur á bindingu við eina DoH þjónustu. Ef sjálfgefið er í Firefox CloudFlare DNS miðlara, þá mun Chrome aðeins uppfæra aðferðina við að vinna með DNS í samsvarandi þjónustu, án þess að breyta DNS veitunni. Til dæmis, ef notandinn er með DNS 8.8.8.8 sem tilgreint er í kerfisstillingunum, þá mun Chrome gera það Google DoH þjónusta („https://dns.google.com/dns-query“), ef DNS er 1.1.1.1, þá Cloudflare DoH þjónusta („https://cloudflare-dns.com/dns-query“) Og
Ef þess er óskað getur notandinn virkjað eða slökkt á DoH með því að nota „chrome://flags/#dns-over-https“ stillinguna. Þrjár aðgerðastillingar eru studdar: örugg, sjálfvirk og slökkt. Í „öruggri“ stillingu eru hýsingar aðeins ákvarðaðir út frá öruggum gildum sem áður hafa verið vistuð í skyndiminni (móttekin í gegnum örugga tengingu) og beiðnum í gegnum DoH; afturför í venjulegt DNS er ekki beitt. Í „sjálfvirku“ hamnum, ef DoH og örugga skyndiminni eru ekki tiltæk, er hægt að sækja gögn úr óörugga skyndiminni og nálgast þau í gegnum hefðbundið DNS. Í „slökkt“ ham er samnýtt skyndiminni fyrst athugað og ef engin gögn eru til er beiðnin send í gegnum DNS kerfið. Stillingin er stillt í gegnum kDnsOverHttpsMode og kortlagningarsniðmát netþjónsins í gegnum kDnsOverHttpsTemplates.
Tilraunin til að virkja DoH verður framkvæmd á öllum kerfum sem studdir eru í Chrome, að undanskildum Linux og iOS vegna þess að það er ekki léttvæg eðli þátta lausnarstillinga og takmarka aðgang að DNS stillingum kerfisins. Ef vandamál koma upp, eftir að hafa virkjað DoH, við að senda beiðnir til DoH netþjónsins (td vegna þess að hann er lokaður, nettengingu eða bilun), mun vafrinn skila DNS stillingum kerfisins sjálfkrafa.
Tilgangur tilraunarinnar er að lokaprófa framkvæmd DoH og kanna áhrif þess að nota DoH á frammistöðu. Það skal tekið fram að í raun var DoH stuðningur inn í Chrome kóðagrunninn aftur í febrúar, en til að stilla og virkja DoH ræsir Chrome með sérstökum fána og óljósum valkostum.
Við skulum muna að DoH getur verið gagnlegt til að koma í veg fyrir leka á upplýsingum um umbeðin hýsilnöfn í gegnum DNS netþjóna veitenda, berjast gegn MITM árásum og DNS umferðarskemmdum (til dæmis þegar tengst er við almennt Wi-Fi), vinna gegn lokun á DNS stigi (DoH getur ekki komið í stað VPN á sviði framhjá blokkun sem er innleidd á DPI stigi) eða til að skipuleggja vinnu ef það er ómögulegt að fá beinan aðgang að DNS netþjónum (til dæmis þegar unnið er í gegnum proxy). Ef við venjulegar aðstæður eru DNS beiðnir sendar beint á DNS netþjóna sem eru skilgreindir í kerfisstillingunni, þá í tilviki DoH, er beiðnin um að ákvarða IP tölu hýsilsins hjúpuð í HTTPS umferð og send á HTTP netþjóninn, þar sem lausnarinn vinnur beiðnir í gegnum vef API. Núverandi DNSSEC staðall notar dulkóðun eingöngu til að auðkenna biðlara og netþjón, en verndar ekki umferð fyrir hlerun og ábyrgist ekki trúnað um beiðnir.
Heimild: opennet.ru