Chrome 78 יתחיל להתנסות בהפעלת DNS-over-HTTPS

הבא מוזילה חברת גוגל דווח על הכוונה לערוך ניסוי לבדיקת יישום "DNS over HTTPS" (DoH, DNS over HTTPS) המפותח עבור דפדפן Chrome. Chrome 78, המתוכנן ל-22 באוקטובר, יכלול כמה קטגוריות משתמש כברירת מחדל מְתוּרגָם להשתמש ב-DoH. רק משתמשים שהגדרות המערכת הנוכחיות שלהם מציינות ספקי DNS מסוימים המוכרים כתואמים ל-DoH, ישתתפו בניסוי כדי לאפשר את DoH.

הרשימה הלבנה של ספקי DNS כוללת שירותים גוגל (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDns (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Cleanbrowsing (185.228.168.168. 185.228.169.168, 185.222.222.222) ו-DNS.SB (185.184.222.222, XNUMX). אם הגדרות ה-DNS של המשתמש מציינות את אחד משרתי ה-DNS שהוזכרו לעיל, DoH ב-Chrome יופעל כברירת מחדל. למי שמשתמש בשרתי DNS המסופקים על ידי ספק האינטרנט המקומי שלהם, הכל יישאר ללא שינוי ופותר המערכת ימשיך לשמש עבור שאילתות DNS.

הבדל חשוב מהטמעת DoH בפיירפוקס, שאיפשרה בהדרגה את DoH כברירת מחדל יתחיל כבר בסוף ספטמבר, היא היעדר הכריכה לשירות דוה"ח אחד. אם בפיירפוקס כברירת מחדל משמש CloudFlare שרת DNS, אז Chrome יעדכן רק את שיטת העבודה עם DNS לשירות שווה ערך, מבלי לשנות את ספק ה-DNS. לדוגמה, אם למשתמש יש DNS 8.8.8.8 שצוין בהגדרות המערכת, Chrome יעשה זאת מוּפעָל שירות Google DoH ("https://dns.google.com/dns-query"), אם ה-DNS הוא 1.1.1.1, אז שירות Cloudflare DoH ("https://cloudflare-dns.com/dns-query") וכן וכו '

אם תרצה, המשתמש יכול להפעיל או להשבית את DoH באמצעות ההגדרה "chrome://flags/#dns-over-https". שלושה מצבי הפעלה נתמכים: מאובטח, אוטומטי וכבוי. במצב "מאבטח", המארחים נקבעים רק על סמך ערכי מאובטחים שנשמרו בעבר במטמון (המתקבלים באמצעות חיבור מאובטח) ובקשות באמצעות DoH; חזרה ל-DNS רגיל אינה מוחלת. במצב "אוטומטי", אם DoH והמטמון המאובטח אינם זמינים, ניתן לאחזר נתונים מהמטמון הלא מאובטח ולגשת אליהם דרך DNS מסורתי. במצב "כבוי", המטמון המשותף נבדק תחילה ואם אין נתונים, הבקשה נשלחת דרך ה-DNS של המערכת. המצב נקבע באמצעות התאמה אישית kDnsOverHttpsMode , ותבנית מיפוי השרת באמצעות kDnsOverHttpsTemplates.

הניסוי להפעלת DoH יתבצע בכל הפלטפורמות הנתמכות בכרום, למעט לינוקס ו-iOS בשל האופי הלא טריוויאלי של ניתוח הגדרות פותר והגבלת הגישה להגדרות ה-DNS של המערכת. אם לאחר הפעלת DoH, יש בעיות בשליחת בקשות לשרת DoH (לדוגמה, עקב חסימתו, קישוריות רשת או כשל), הדפדפן יחזיר אוטומטית את הגדרות ה-DNS של המערכת.

מטרת הניסוי היא לבדוק סופית את היישום של DoH וללמוד את ההשפעה של השימוש ב-DoH על הביצועים. יצוין כי למעשה תמיכת DoH הייתה הוסיף לתוך בסיס הקוד של Chrome בפברואר, אלא כדי להגדיר ולהפעיל את DoH נדרש משיק את Chrome עם דגל מיוחד ומערכת לא ברורה של אפשרויות.

נזכיר כי DoH יכול להיות שימושי למניעת דליפות מידע על שמות המארחים המבוקשים דרך שרתי ה-DNS של ספקים, מאבק בהתקפות MITM וזיוף תעבורת DNS (לדוגמה, בעת חיבור ל-Wi-Fi ציבורי), מניעת חסימה ב-DNS רמת (DoH לא יכול להחליף VPN בתחום של עקיפת חסימה המיושמת ברמת DPI) או לארגון עבודה אם אי אפשר לגשת ישירות לשרתי DNS (לדוגמה, בעבודה דרך פרוקסי). אם במצב רגיל בקשות DNS נשלחות ישירות לשרתי DNS המוגדרים בתצורת המערכת, אז במקרה של DoH, הבקשה לקביעת כתובת ה-IP של המארח מובלעת בתעבורת HTTPS ונשלחת לשרת ה-HTTP, שם הפותר מעבד בקשות דרך ה-API של האינטרנט. תקן DNSSEC הקיים משתמש בהצפנה רק כדי לאמת את הלקוח והשרת, אך אינו מגן על התעבורה מפני יירוט ואינו מבטיח את סודיות הבקשות.

מקור: OpenNet.ru