Nderek perusahaan Google babagan niat nindakake eksperimen kanggo nguji implementasi "DNS liwat HTTPS" (DoH, DNS liwat HTTPS) sing dikembangake kanggo browser Chrome. Chrome 78, dijadwalake tanggal 22 Oktober, bakal duwe sawetara kategori pangguna kanthi standar nggunakake DoH. Mung pangguna sing setelan sistem saiki nemtokake panyedhiya DNS tartamtu sing diakoni kompatibel karo DoH sing bakal melu eksperimen kanggo ngaktifake DoH.
Dhaptar putih panyedhiya DNS kalebu Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112. 185.228.168.168 , 185.228.169.168) lan DNS.SB (185.222.222.222, 185.184.222.222). Yen setelan DNS pangguna nemtokake salah siji saka server DNS sing kasebut ing ndhuwur, DoH ing Chrome bakal diaktifake kanthi gawan. Kanggo sing nggunakake server DNS sing diwenehake dening panyedhiya Internet lokal, kabeh bakal tetep ora owah lan solver sistem bakal terus digunakake kanggo pitakon DNS.
Bentenane penting saka implementasine DoH ing Firefox, sing mboko sithik ngaktifake DoH kanthi standar wis ing pungkasan September, punika lack of naleni siji layanan DoH. Yen ing Firefox kanthi gawan Server DNS CloudFlare, banjur Chrome mung bakal nganyari cara nggarap DNS menyang layanan sing padha, tanpa ngganti panyedhiya DNS. Contone, yen pangguna duwe DNS 8.8.8.8 sing ditemtokake ing setelan sistem, banjur Chrome bakal Layanan Google DoH ("https://dns.google.com/dns-query"), yen DNS 1.1.1.1, banjur layanan Cloudflare DoH ("https://cloudflare-dns.com/dns-query") Lan
Yen dikarepake, pangguna bisa ngaktifake utawa mateni DoH nggunakake setelan "chrome://flags/#dns-over-https". Telung mode operasi didhukung: aman, otomatis lan mateni. Ing mode "aman", host ditemtokake mung adhedhasar nilai aman sing di-cache sadurunge (ditampa liwat sambungan aman) lan panjaluk liwat DoH ora ditrapake. Ing mode "otomatis", yen DoH lan cache aman ora kasedhiya, data bisa dijupuk saka cache sing ora aman lan diakses liwat DNS tradisional. Ing mode "mati", cache sing dienggo bareng dicenthang dhisik lan yen ora ana data, panjaluk kasebut dikirim liwat DNS sistem. Mode disetel liwat kDnsOverHttpsMode , lan cithakan pemetaan server liwat kDnsOverHttpsTemplates.
Eksperimen kanggo ngaktifake DoH bakal ditindakake ing kabeh platform sing didhukung ing Chrome, kajaba Linux lan iOS amarga ora pati penting babagan parsing setelan solver lan matesi akses menyang setelan DNS sistem. Yen, sawise ngaktifake DoH, ana masalah ngirim panjalukan menyang server DoH (contone, amarga pamblokiran, konektivitas jaringan utawa gagal), browser bakal kanthi otomatis ngasilake setelan DNS sistem.
Tujuan saka eksperimen yaiku kanggo nguji pungkasan implementasi DoH lan nyinaoni pengaruh nggunakake DoH ing kinerja. Perlu dicathet yen nyatane dhukungan DoH ana menyang basis kode Chrome ing wulan Februari, nanging kanggo ngatur lan ngaktifake DoH ngluncurake Chrome kanthi gendera khusus lan pilihan sing ora jelas.
Elinga yen DoH bisa migunani kanggo nyegah bocor informasi babagan jeneng host sing dijaluk liwat server DNS panyedhiya, nglawan serangan MITM lan spoofing lalu lintas DNS (umpamane, nalika nyambung menyang Wi-Fi umum), nglawan pamblokiran ing DNS. level (DoH ora bisa ngganti VPN ing area bypassing blocking sing ditindakake ing tingkat DPI) utawa kanggo ngatur karya yen ora bisa ngakses server DNS langsung (contone, nalika nggarap proxy). Yen ing kahanan normal, panyuwunan DNS langsung dikirim menyang server DNS sing ditetepake ing konfigurasi sistem, banjur ing kasus DoH, panjalukan kanggo nemtokake alamat IP inang wis encapsulated ing lalu lintas HTTPS lan dikirim menyang server HTTP, ngendi solver proses. panjalukan liwat API Web. Standar DNSSEC sing ana nggunakake enkripsi mung kanggo otentikasi klien lan server, nanging ora nglindhungi lalu lintas saka interception lan ora njamin rahasia panjalukan.
Source: opennet.ru