Follegt Google Firma iwwer d'Intent en Experiment ze maachen fir d'Implementatioun "DNS iwwer HTTPS" (DoH, DNS iwwer HTTPS) ze testen, déi fir de Chrome Browser entwéckelt gëtt. Chrome 78, geplangt fir den 22. Oktober, wäert par défaut e puer Benotzerkategorien hunn DoH ze benotzen. Nëmme Benotzer deenen hir aktuell Systemastellunge bestëmmten DNS-Provider spezifizéieren, déi als kompatibel mat DoH unerkannt sinn, huelen un dem Experiment deel fir DoH z'aktivéieren.
Déi wäiss Lëscht vun DNS Ubidder enthält Google (8.8.8.8), Propretéit (8.8.4.4). Open 1.1.1.1 .. 1.0.0.1, 208.67.222.222) an DNS.SB (208.67.220.220, 9). Wann d'DNS-Astellunge vum Benotzer ee vun den uewe genannten DNS-Server spezifizéieren, gëtt DoH am Chrome als Standard aktivéiert. Fir déi, déi DNS-Server benotzen, déi vun hirem lokalen Internet-Provider geliwwert ginn, bleift alles onverännert an de Systemresolver gëtt weider fir DNS-Ufroen benotzt.
E wichtegen Ënnerscheed vun der Implementatioun vun DoH am Firefox, deen DoH graduell als Standard aktivéiert huet schonn Enn September feelt et un eng Bindung un een DoH Service. Wann am Firefox als Standard CloudFlare DNS Server, da wäert Chrome nëmmen d'Method fir mat DNS op en gläichwäertege Service aktualiséieren, ouni den DNS Provider z'änneren. Zum Beispill, wann de Benotzer DNS 8.8.8.8 an de Systemastellungen spezifizéiert huet, da wäert Chrome Google DoH Service ("https://dns.google.com/dns-query"), wann DNS 1.1.1.1 ass, dann Cloudflare DoH Service ("https://cloudflare-dns.com/dns-query") An
Wann Dir wëllt, kann de Benotzer DoH aktivéieren oder deaktivéieren mat der "chrome://flags/#dns-over-https" Astellung. Dräi Operatiounsmodi ginn ënnerstëtzt: sécher, automatesch an aus. Am "séchere" Modus ginn d'Host nëmme bestëmmt op Basis vu virdru cachéierte séchere Wäerter (iwwer eng sécher Verbindung kritt) an Ufroen iwwer DoH; Réckfall op normale DNS gëtt net ugewannt. Am "automateschen" Modus, wann DoH an de séchere Cache net verfügbar sinn, kënnen d'Donnéeën aus dem onséchere Cache zréckgezunn ginn an iwwer traditionell DNS zougänglech sinn. Am "Off" Modus gëtt de gemeinsame Cache als éischt iwwerpréift a wann et keng Donnéeën gëtt, gëtt d'Ufro iwwer de System DNS geschéckt. De Modus gëtt via kDnsOverHttpsMode , an d'Server Mapping Schabloun duerch kDnsOverHttpsTemplates.
D'Experiment fir DoH z'aktivéieren gëtt op all Plattformen ausgeführt, déi am Chrome ënnerstëtzt ginn, mat Ausnam vu Linux an iOS wéinst der net-trivial Natur vun der Parsing Resolver Astellungen an den Zougang zu System DNS Astellungen ze beschränken. Wann, nodeems Dir DoH aktivéiert hutt, et Problemer gëtt fir Ufroen un den DoH-Server ze schécken (zum Beispill wéinst senger Blockéierung, Netzwierkverbindung oder Versoen), gëtt de Browser automatesch d'DNS-Astellunge vum System zréck.
Den Zweck vum Experiment ass d'Ëmsetzung vun DoH endgülteg ze testen an den Impakt vum Gebrauch vun DoH op d'Leeschtung ze studéieren. Et sollt bemierkt datt tatsächlech DoH Ënnerstëtzung war an de Chrome Codebase zréck am Februar, awer fir DoH ze konfiguréieren an z'aktivéieren Chrome lancéiert mat engem spezielle Fändel an engem net offensichtleche Set vun Optiounen.
Loosst eis drun erënneren datt DoH nëtzlech ka sinn fir Leckage vun Informatioun iwwer déi ugefrote Hostnamen duerch d'DNS-Server vu Fournisseuren ze vermeiden, MITM Attacken an DNS Traffic spoofing ze bekämpfen (zum Beispill wann Dir mat ëffentleche Wi-Fi verbënnt), géint d'Blockéierung vun der DNS. Niveau (DoH kann net e VPN ersetzen am Beräich vum Contournement vun der Blockéierung um DPI Niveau implementéiert) oder fir d'Aarbecht ze organiséieren wann et onméiglech ass direkt Zougang zu DNS Serveren ze kréien (zum Beispill wann Dir duerch e Proxy schafft). Wann an enger normaler Situatioun DNS-Ufroen direkt un DNS-Server geschéckt ginn, déi an der Systemkonfiguratioun definéiert sinn, dann am Fall vun DoH, ass d'Ufro fir d'IP Adress vum Host ze bestëmmen an den HTTPS-Traffic encapsuléiert an op den HTTP-Server geschéckt, wou de Resolver veraarbecht. Ufroen iwwer de Web API. Déi existent DNSSEC Norm benotzt Verschlësselung nëmmen fir de Client an de Server ze authentifizéieren, awer schützt de Traffic net virun der Interceptioun a garantéiert net d'Vertraulechkeet vun den Ufroen.
Source: opennet.ru