続く グーグル社 Chrome ブラウザ向けに開発中の「DNS over HTTPS」(DoH、DNS over HTTPS)実装をテストする実験を実施する意向について。 78 月 22 日に予定されている Chrome XNUMX には、デフォルトでいくつかのユーザー カテゴリが含まれます DoHを使用します。 現在のシステム設定で DoH と互換性があると認識されている特定の DNS プロバイダーを指定しているユーザーのみが、DoH を有効にする実験に参加します。
DNS プロバイダーのホワイト リストには次のものが含まれます。 Google (8.8.8.8、8.8.4.4)、Cloudflare (1.1.1.1、1.0.0.1)、OpenDNS (208.67.222.222、208.67.220.220)、Quad9 (9.9.9.9、149.112.112.112)、Cleanbrowsing (185.228.168.168) .185.228.169.168。 185.222.222.222、185.184.222.222) および DNS.SB (XNUMX、XNUMX)。 ユーザーの DNS 設定で上記の DNS サーバーのいずれかが指定されている場合、Chrome の DoH はデフォルトで有効になります。 ローカルのインターネット プロバイダーが提供する DNS サーバーを使用している場合は、すべてが変更されず、システム リゾルバーが引き続き DNS クエリに使用されます。
デフォルトで段階的に DoH を有効にする Firefox での DoH の実装との重要な違い すでに XNUMX 月末に、XNUMX つの DoH サービスへのバインドが欠如しています。 デフォルトでFirefoxの場合 CloudFlare DNS サーバーの場合、Chrome は DNS プロバイダーを変更せずに、DNS の操作方法を同等のサービスに更新するだけです。 たとえば、ユーザーがシステム設定で DNS 8.8.8.8 を指定している場合、Chrome は Google DoH サービス (「https://dns.google.com/dns-query」)、DNS が 1.1.1.1 の場合、Cloudflare DoH サービス (「https://cloudflare-dns.com/dns-query」)
必要に応じて、ユーザーは「chrome://flags/#dns-over-https」設定を使用して DoH を有効または無効にすることができます。 セキュア、自動、オフの XNUMX つの動作モードがサポートされています。 「セキュア」モードでは、ホストは以前にキャッシュされたセキュアな値 (セキュアな接続を介して受信した) と DoH を介したリクエストにのみ基づいて決定され、通常の DNS へのフォールバックは適用されません。 「自動」モードでは、DoH と安全なキャッシュが利用できない場合、安全でないキャッシュからデータを取得し、従来の DNS 経由でアクセスできます。 「オフ」モードでは、最初に共有キャッシュがチェックされ、データがない場合、リクエストはシステム DNS 経由で送信されます。 モードは経由で設定されます kDnsOverHttpsMode 、および kDnsOverHttpsTemplates を介したサーバー マッピング テンプレート。
DoH を有効にする実験は、リゾルバー設定の解析とシステム DNS 設定へのアクセスの制限が重要な性質を持っているため、Linux と iOS を除く、Chrome でサポートされているすべてのプラットフォームで実行されます。 DoH を有効にした後、DoH サーバーへのリクエストの送信で問題が発生した場合 (ブロック、ネットワーク接続、障害などにより)、ブラウザは自動的にシステムの DNS 設定を返します。
実験の目的は、DoH の実装を最終テストし、DoH の使用がパフォーマンスに及ぼす影響を調査することです。 実際、DoH サポートは XNUMX 月に Chrome コードベースに組み込まれましたが、DoH を設定して有効にするためでした 特別なフラグと明確ではないオプションのセットを使用して Chrome を起動します。
DoH は、プロバイダーの DNS サーバーを介した要求されたホスト名に関する情報の漏洩の防止、MITM 攻撃や DNS トラフィックのスプーフィングへの対処 (公衆 Wi-Fi への接続時など)、DNS でのブロックへの対抗に役立つことを思い出してください。レベル(DoH は、DPI レベルで実装されたブロッキングをバイパスする領域で VPN を置き換えることはできません)、または DNS サーバーに直接アクセスできない場合(たとえば、プロキシを介して作業する場合)の作業を整理するために使用します。 通常の状況では、DNS リクエストがシステム構成で定義された DNS サーバーに直接送信される場合、DoH の場合、ホストの IP アドレスを決定するリクエストは HTTPS トラフィックにカプセル化されて HTTP サーバーに送信され、そこでリゾルバーが処理します。 Web API経由でのリクエスト。 既存の DNSSEC 標準では、クライアントとサーバーの認証にのみ暗号化が使用されますが、トラフィックを傍受から保護したり、リクエストの機密性を保証したりすることはありません。
出所: オープンネット.ru