Follegt Google Firma о намерении провести эксперимент для проверки развиваемой для браузера Chrome реализации «DNS поверх HTTPS» (DoH, DNS over HTTPS). В выпуске Chrome 78, намеченном на 22 октября, некоторые категории пользователей будут по умолчанию на использование DoH. В эксперименте по включению DoH примут участие только пользователи, в текущих системных настойках которых указаны определённые DNS-провайдеры, признанные совместимыми с DoH.
Déi wäiss Lëscht vun DNS Ubidder enthält Google (8.8.8.8), Propretéit (8.8.4.4). Open 1.1.1.1 .. 1.0.0.1, 208.67.222.222) an DNS.SB (208.67.220.220, 9). Wann d'DNS-Astellunge vum Benotzer ee vun den uewe genannten DNS-Server spezifizéieren, gëtt DoH am Chrome als Standard aktivéiert. Fir déi, déi DNS-Server benotzen, déi vun hirem lokalen Internet-Provider geliwwert ginn, bleift alles onverännert an de Systemresolver gëtt weider fir DNS-Ufroen benotzt.
Важным отличием от внедрения DoH в Firefox, в котором поэтапное включение по умолчанию DoH уже в конце сентября, является отсутствие привязки к одному сервису DoH. Если в Firefox по умолчанию DNS-сервер CloudFlare, то в Chrome будет лишь произведено обновление метода работы с DNS на эквивалентный сервис, без смены DNS-провайдера. Например, если у пользователя в системных настройках указан DNS 8.8.8.8, то в Chrome будет DoH-сервис Google («https://dns.google.com/dns-query»), если DNS — 1.1.1.1, то DoH сервис Cloudflare («https://cloudflare-dns.com/dns-query») и
Wann Dir wëllt, kann de Benotzer DoH aktivéieren oder deaktivéieren mat der "chrome://flags/#dns-over-https" Astellung. Dräi Operatiounsmodi ginn ënnerstëtzt: sécher, automatesch an aus. Am "séchere" Modus ginn d'Host nëmme bestëmmt op Basis vu virdru cachéierte séchere Wäerter (iwwer eng sécher Verbindung kritt) an Ufroen iwwer DoH; Réckfall op normale DNS gëtt net ugewannt. Am "automateschen" Modus, wann DoH an de séchere Cache net verfügbar sinn, kënnen d'Donnéeën aus dem onséchere Cache zréckgezunn ginn an iwwer traditionell DNS zougänglech sinn. Am "Off" Modus gëtt de gemeinsame Cache als éischt iwwerpréift a wann et keng Donnéeën gëtt, gëtt d'Ufro iwwer de System DNS geschéckt. De Modus gëtt via kDnsOverHttpsMode , а шаблон сопоставления серверов через kDnsOverHttpsTemplates.
D'Experiment fir DoH z'aktivéieren gëtt op all Plattformen ausgeführt, déi am Chrome ënnerstëtzt ginn, mat Ausnam vu Linux an iOS wéinst der net-trivial Natur vun der Parsing Resolver Astellungen an den Zougang zu System DNS Astellungen ze beschränken. Wann, nodeems Dir DoH aktivéiert hutt, et Problemer gëtt fir Ufroen un den DoH-Server ze schécken (zum Beispill wéinst senger Blockéierung, Netzwierkverbindung oder Versoen), gëtt de Browser automatesch d'DNS-Astellunge vum System zréck.
Целью проведения эксперимента является финальная проверка реализации DoH и изучение влияния применения DoH на производительность. Следует отметить, что фактически поддержка DoH была в кодовую базу Chrome ещё в феврале, но для настройки и включения DoH запуск Chrome со специальным флагом и неочевидным набором опций.
Loosst eis drun erënneren datt DoH nëtzlech ka sinn fir Leckage vun Informatioun iwwer déi ugefrote Hostnamen duerch d'DNS-Server vu Fournisseuren ze vermeiden, MITM Attacken an DNS Traffic spoofing ze bekämpfen (zum Beispill wann Dir mat ëffentleche Wi-Fi verbënnt), géint d'Blockéierung vun der DNS. Niveau (DoH kann net e VPN ersetzen am Beräich vum Contournement vun der Blockéierung um DPI Niveau implementéiert) oder fir d'Aarbecht ze organiséieren wann et onméiglech ass direkt Zougang zu DNS Serveren ze kréien (zum Beispill wann Dir duerch e Proxy schafft). Wann an enger normaler Situatioun DNS-Ufroen direkt un DNS-Server geschéckt ginn, déi an der Systemkonfiguratioun definéiert sinn, dann am Fall vun DoH, ass d'Ufro fir d'IP Adress vum Host ze bestëmmen an den HTTPS-Traffic encapsuléiert an op den HTTP-Server geschéckt, wou de Resolver veraarbecht. Ufroen iwwer de Web API. Déi existent DNSSEC Norm benotzt Verschlësselung nëmmen fir de Client an de Server ze authentifizéieren, awer schützt de Traffic net virun der Interceptioun a garantéiert net d'Vertraulechkeet vun den Ufroen.
Source: opennet.ru