Бақылау Google компаниясы Chrome браузері үшін әзірленіп жатқан «HTTPS арқылы DNS» (DoH, HTTPS арқылы DNS) енгізуін сынау үшін эксперимент жүргізу ниеті туралы. 78 қазанға жоспарланған Chrome 22-де әдепкі бойынша кейбір пайдаланушы санаттары болады DoH пайдалану. DoH функциясын қосу экспериментіне тек ағымдағы жүйе параметрлері DoH жүйесімен үйлесімді деп танылған белгілі DNS провайдерлерін көрсететін пайдаланушылар қатысады.
DNS провайдерлерінің ақ тізіміне кіреді Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112.row), Clean. 185.228.168.168 185.228.169.168 , 185.222.222.222) және DNS.SB (185.184.222.222, XNUMX). Егер пайдаланушының DNS параметрлері жоғарыда аталған DNS серверлерінің бірін көрсетсе, Chrome жүйесіндегі DoH әдепкі бойынша іске қосылады. Жергілікті интернет-провайдері ұсынатын DNS серверлерін пайдаланатындар үшін бәрі өзгеріссіз қалады және жүйені шешуші DNS сұраулары үшін пайдалануды жалғастырады.
Әдепкі бойынша DoH бірте-бірте қосылған Firefox-та DoH енгізуден маңызды айырмашылық қазірдің өзінде қыркүйек айының соңында, бір DoH қызметіне байланысты болмауы болып табылады. Егер әдепкі бойынша Firefox-та болса CloudFlare DNS сервері, содан кейін Chrome DNS провайдерін өзгертпестен DNS-пен жұмыс істеу әдісін баламалы қызметке ғана жаңартады. Мысалы, пайдаланушыда жүйелік параметрлерде көрсетілген DNS 8.8.8.8 болса, Chrome оны жасайды Google DoH қызметі («https://dns.google.com/dns-query»), егер DNS 1.1.1.1 болса, Cloudflare DoH қызметі («https://cloudflare-dns.com/dns-query») және
Қажет болса, пайдаланушы «chrome://flags/#dns-over-https» параметрін пайдаланып DoH қосуы немесе өшіруі мүмкін. Үш жұмыс режиміне қолдау көрсетіледі: қауіпсіз, автоматты және өшірулі. «Қауіпсіз» режимде хосттар тек бұрын кэштелген қауіпсіз мәндер негізінде анықталады (қауіпсіз қосылым арқылы алынған) және DoH арқылы тұрақты DNS-ке қайтару қолданылмайды; «Автоматты» режимде DoH және қауіпсіз кэш қол жетімді болмаса, деректерді қауіпті кэштен шығарып алуға және дәстүрлі DNS арқылы қол жеткізуге болады. «Өшірулі» режимде алдымен ортақ кэш тексеріледі және деректер болмаса, сұрау DNS жүйесі арқылы жіберіледі. Режим арқылы орнатылады kDnsOverHttpsMode , және kDnsOverHttps Templates арқылы серверді салыстыру үлгісі.
DoH мүмкіндігін қосу эксперименті шешуші параметрлерін талдаудың тривиальды емес сипатына және жүйелік DNS параметрлеріне кіруді шектеуге байланысты Linux және iOS жүйесін қоспағанда, Chrome жүйесінде қолдау көрсетілетін барлық платформаларда орындалады. Егер DoH қосылғаннан кейін DoH серверіне сұрауларды жіберуде ақаулар туындаса (мысалы, оның бұғатталуына, желіге қосылуына немесе ақаулығына байланысты), шолғыш жүйенің DNS параметрлерін автоматты түрде қайтарады.
Эксперименттің мақсаты - DoH енгізуді түпкілікті тексеру және DoH пайдаланудың өнімділікке әсерін зерттеу. Айта кету керек, іс жүзінде DoH қолдауы болды ақпан айында Chrome код базасына кіріңіз, бірақ DoH конфигурациялау және қосу үшін Chrome браузерін арнайы жалаушамен және айқын емес опциялар жиынтығымен іске қосу.
Еске салайық, DoH провайдерлердің DNS серверлері арқылы сұралған хост атаулары туралы ақпараттың ағып кетуіне жол бермеу, MITM шабуылдарымен және DNS трафигі спуфингімен күресу (мысалы, жалпыға ортақ Wi-Fi желісіне қосылу кезінде), DNS-те блоктауға қарсы тұру үшін пайдалы болуы мүмкін. деңгейі (DoH DPI деңгейінде жүзеге асырылатын бұғаттауды айналып өту аймағында VPN-ді алмастыра алмайды) немесе DNS серверлеріне тікелей қол жеткізу мүмкін болмаса, жұмысты ұйымдастыру үшін (мысалы, прокси арқылы жұмыс істегенде). Егер қалыпты жағдайда DNS сұраулары жүйе конфигурациясында анықталған DNS серверлеріне тікелей жіберілсе, DoH жағдайында хосттың IP мекенжайын анықтауға сұрау HTTPS трафигінде инкапсуляцияланады және шешуші өңдейтін HTTP серверіне жіберіледі. Web API арқылы сұраулар. Қолданыстағы DNSSEC стандарты тек клиент пен сервердің аутентификациясы үшін шифрлауды пайдаланады, бірақ трафикті ұстап қалудан қорғамайды және сұраулардың құпиялылығына кепілдік бермейді.
Ақпарат көзі: opennet.ru