Chrome 78에서는 DNS-over-HTTPS 활성화 실험을 시작합니다.

수행원 모질라 구글 회사 보고 Chrome 브라우저용으로 개발 중인 'DNS over HTTPS'(DoH, DNS over HTTPS) 구현을 테스트하기 위한 실험을 수행하려는 의도에 대해 설명합니다. 78월 22일로 예정된 Chrome XNUMX에는 기본적으로 일부 사용자 카테고리가 있습니다. 번역 DoH를 사용합니다. 현재 시스템 설정에서 DoH와 호환되는 것으로 인식되는 특정 DNS 공급자를 지정하는 사용자만 DoH를 활성화하는 실험에 참여하게 됩니다.

DNS 공급자의 화이트리스트에는 다음이 포함됩니다. 서비스 Google(8.8.8.8, 8.8.4.4), Cloudflare(1.1.1.1, 1.0.0.1), OpenDNS(208.67.222.222, 208.67.220.220), Quad9(9.9.9.9, 149.112.112.112), 클린브라우징(185.228.168.168 185.228.169.168. 185.222.222.222, 185.184.222.222) 및 DNS.SB(XNUMX, XNUMX). 사용자의 DNS 설정이 위에서 언급한 DNS 서버 중 하나를 지정하면 Chrome의 DoH가 기본적으로 활성화됩니다. 로컬 인터넷 공급자가 제공하는 DNS 서버를 사용하는 경우 모든 것이 변경되지 않고 시스템 확인자가 DNS 쿼리에 계속 사용됩니다.

기본적으로 DoH를 점진적으로 활성화하는 Firefox의 DoH 구현과의 중요한 차이점 시작 할거야 이미 XNUMX월 말에는 하나의 DoH 서비스에 대한 바인딩이 부족합니다. 기본적으로 Firefox의 경우 사용 된 CloudFlare DNS 서버를 사용하면 Chrome은 DNS 공급자를 변경하지 않고 DNS 작업 방법을 동등한 서비스로만 업데이트합니다. 예를 들어 사용자의 시스템 설정에 DNS 8.8.8.8이 지정되어 있으면 Chrome은 활성화 Google DoH 서비스("https://dns.google.com/dns-query"), DNS가 1.1.1.1인 경우 Cloudflare DoH 서비스("https://cloudflare-dns.com/dns-query") 및 등

원하는 경우 사용자는 'chrome://flags/#dns-over-https' 설정을 사용하여 DoH를 활성화하거나 비활성화할 수 있습니다. 보안, 자동, 꺼짐의 세 가지 작동 모드가 지원됩니다. "보안" 모드에서는 이전에 캐시된 보안 값(보안 연결을 통해 수신)과 DoH를 통한 요청을 기반으로만 호스트가 결정되며 일반 DNS로의 폴백은 적용되지 않습니다. "자동" 모드에서는 DoH와 보안 캐시를 사용할 수 없는 경우 안전하지 않은 캐시에서 데이터를 검색하고 기존 DNS를 통해 액세스할 수 있습니다. "off" 모드에서는 공유 캐시를 먼저 확인하고 데이터가 없으면 시스템 DNS를 통해 요청을 보냅니다. 모드는 다음을 통해 설정됩니다. 사용자 정의 kDnsOverHttpsMode 및 kDnsOverHttpsTemplates를 통한 서버 매핑 템플릿.

DoH를 활성화하는 실험은 확인자 설정 구문 분석 및 시스템 DNS 설정에 대한 액세스 제한의 특성으로 인해 Linux 및 iOS를 제외하고 Chrome에서 지원되는 모든 플랫폼에서 수행됩니다. DoH를 활성화한 후 DoH 서버에 요청을 보내는 데 문제가 있는 경우(예: 차단, 네트워크 연결 또는 오류로 인해) 브라우저는 자동으로 시스템 DNS 설정을 반환합니다.

실험의 목적은 DoH 구현을 최종 테스트하고 DoH 사용이 성능에 미치는 영향을 연구하는 것입니다. 실제로 DoH 지원은 추가 XNUMX월에 Chrome 코드베이스에 포함되었지만 DoH를 구성하고 활성화하려면 필수의 특수 플래그와 명확하지 않은 옵션 세트를 사용하여 Chrome을 시작합니다.

DoH는 공급자의 DNS 서버를 통해 요청된 호스트 이름에 대한 정보 유출을 방지하고, MITM 공격 및 DNS 트래픽 스푸핑(예: 공용 Wi-Fi에 연결할 때)을 방지하고, DNS 차단에 대응하는 데 유용할 수 있다는 점을 기억해 두십시오. 수준(DoH는 DPI 수준에서 구현된 우회 차단 영역에서 VPN을 대체할 수 없음) 또는 DNS 서버에 직접 액세스할 수 없는 경우(예: 프록시를 통해 작업하는 경우) 작업 구성을 위해 사용됩니다. 정상적인 상황에서 DNS 요청이 시스템 구성에 정의된 DNS 서버로 직접 전송된다면 DoH의 경우 호스트의 IP 주소를 확인하기 위한 요청이 HTTPS 트래픽에 캡슐화되어 확인자가 처리하는 HTTP 서버로 전송됩니다. 웹 API를 통해 요청합니다. 기존 DNSSEC 표준은 클라이언트와 서버를 인증하는 데에만 암호화를 사용하지만 트래픽을 가로채는 것을 방지하지 않으며 요청의 기밀성을 보장하지 않습니다.

출처 : opennet.ru