Pêketînî Şirketa Google li ser mebesta pêkanîna ceribandinek ji bo ceribandina pêkanîna "DNS li ser HTTPS" (DoH, DNS ser HTTPS) ku ji bo geroka Chrome hatî pêşve xistin. Chrome 78, ku ji bo 22-ê Cotmehê hatî plansaz kirin, dê ji hêla xwerû ve hin kategoriyên bikarhêneran hebe DoH bikar bînin. Tenê bikarhênerên ku mîhengên pergalê yên heyî diyar dikin hin pêşkêşkerên DNS yên ku bi DoH re hevaheng têne nas kirin dê beşdarî ceribandinê bibin da ku DoH çalak bikin.
Lîsteya spî ya pêşkêşkerên DNS-ê tê de ye Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112b 185.228.168.168. 185.228.169.168, 185.222.222.222) û DNS.SB (185.184.222.222, XNUMX). Ger mîhengên DNS-ê yên bikarhêner yek ji serverên DNS-ê yên jorîn diyar bikin, DoH di Chrome-ê de dê ji hêla xwerû ve were çalak kirin. Ji bo kesên ku serverên DNS-ê yên ku ji hêla peydakiroxa xweya Înternetê ya herêmî ve têne peyda kirin bikar tînin, dê her tişt neguhezîne û çareserkerê pergalê dê ji bo pirsên DNS-ê bikar bîne.
Cûdahiyek girîng ji pêkanîna DoH-ê di Firefox-ê de, ku hêdî hêdî DoH ji hêla xwerû ve çalak kir jixwe di dawiya Îlonê de, nebûna girêdana yek karûbarê DoH-ê ye. Heke ji hêla xwerû ve di Firefox de ye Pêşkêşkara DNS CloudFlare, wê hingê Chrome dê tenê rêbaza xebata bi DNS-ê re berbi karûbarek wekhev nûve bike, bêyî ku pêşkêşkarê DNS-ê biguhezîne. Mînakî, heke bikarhêner DNS 8.8.8.8 di mîhengên pergalê de diyar kiribe, wê hingê Chrome dê Karûbarê Google DoH ("https://dns.google.com/dns-query"), heke DNS 1.1.1.1 be, wê hingê karûbarê Cloudflare DoH ("https://cloudflare-dns.com/dns-query") Û
Ger bixwaze, bikarhêner dikare bi karanîna mîhenga "chrome://flags/#dns-over-https" DoH çalak bike an neçalak bike. Sê awayên xebitandinê têne piştgirî kirin: ewle, otomatîk û off. Di moda "ewle" de, mêvandar tenê li ser bingeha nirxên ewledar ên berê yên cache (bi girêdanek ewledar hatine wergirtin) û daxwazên bi DoH têne destnîşankirin; paşveçûna DNS-ya birêkûpêk nayê sepandin. Di moda "otomatîk" de, heke DoH û cacheya ewledar nebin, dane dikarin ji cacheya neewle werin derxistin û bi DNS-ya kevneşopî ve werin gihîştin. Di moda "off" de, pêşî cacheya hevpar tê kontrol kirin û heke dane tune be, daxwaz bi DNS-a pergalê ve tê şandin. Mode bi rêya tê danîn kDnsOverHttpsMode, û şablona nexşeya serverê bi navgîniya kDnsOverHttpsŞablonan.
Ezmûna çalakkirina DoH-ê dê li ser hemî platformên ku di Chrome-ê de têne piştgirî kirin, ji bilî Linux û iOS-ê ji ber xwezaya ne-pîvandî ya parskirina mîhengên çareserker û sînordarkirina gihîştina mîhengên DNS-ê yên pergalê, were kirin. Ger, piştî çalakkirina DoH, di şandina daxwazan de ji servera DoH re pirsgirêk hebin (mînak, ji ber astengkirina wê, girêdana torê an têkçûna wê), gerok dê bixweber mîhengên DNS-ê yên pergalê vegerîne.
Armanca ceribandinê ceribandina dawî ya pêkanîna DoH û lêkolîna bandora karanîna DoH li ser performansê ye. Divê bê zanîn ku di rastiyê de piştgiriya DoH bû di meha Sibatê de vegeriya kodbase Chrome, lê ji bo mîhengkirin û çalakkirina DoH destpêkirina Chrome bi ala taybetî û komek vebijarkên ne-eşkere.
Werin em bînin bîra xwe ku DoH dikare ji bo pêşîlêgirtina agahdariya li ser navên mêvandar ên daxwazkirî bi navgîniya pêşkêşkerên pêşkêşkerên DNS-ê, li dijî êrişên MITM û xapandina trafîkê ya DNS-ê (mînak, dema ku bi Wi-Fi-ya gelemperî ve girêdayî ye), berevajîkirina astengkirina li DNS-ê kêrhatî be. astê (DoH nikare VPN-ê di qada dorpêçkirina astengkirina ku di asta DPI-yê de hatî bicîh kirin de biguhezîne) an ji bo organîzekirina xebatê heke ne gengaz be ku rasterast bigihîje serverên DNS (mînakî, dema ku bi navbeynkarek dixebite). Ger di rewşek normal de daxwazên DNS rasterast ji serverên DNS-ê yên ku di veavakirina pergalê de hatine destnîşankirin têne şandin, wê hingê di doza DoH de, daxwaza destnîşankirina navnîşana IP-ya mêvandar di seyrûsefera HTTPS-ê de tête girtin û ji servera HTTP re tê şandin, ku li wir çareserker pêvajoyê dike. daxwazên bi rêya Web API. Standarda DNSSEC ya heyî şîfrekirinê bikar tîne tenê ji bo rastkirina xerîdar û serverê, lê seyrûseferê ji destgirtinê naparêze û nepenîtiya daxwazan garantî nake.
Source: opennet.ru