Sekant Google kompanija apie ketinimą atlikti eksperimentą, skirtą išbandyti „DNS per HTTPS“ (DoH, DNS per HTTPS) diegimą, kuriamą „Chrome“ naršyklei. „Chrome 78“, planuojama išleisti spalio 22 d., pagal numatytuosius nustatymus turės kai kurias naudotojų kategorijas naudoti DoH. Tik vartotojai, kurių dabartiniai sistemos nustatymai nurodo tam tikrus DNS teikėjus, pripažintus suderinamus su DoH, dalyvaus eksperimente, kad įgalintų DoH.
Į baltąjį DNS teikėjų sąrašą įtraukta „Google“ (8.8.8.8, 8.8.4.4), „Cloudflare“ (1.1.1.1, 1.0.0.1), „OpenDNS“ (208.67.222.222, 208.67.220.220), „Quad9“ (9.9.9.9, 149.112.112.112 (185.228.168.168, 185.228.169.168). . 185.222.222.222, 185.184.222.222) ir DNS.SB (XNUMX, XNUMX). Jei vartotojo DNS nustatymuose nurodytas vienas iš aukščiau paminėtų DNS serverių, DoH naršyklėje Chrome bus suaktyvintas pagal numatytuosius nustatymus. Tiems, kurie naudojasi vietinio interneto tiekėjo teikiamais DNS serveriais, viskas išliks nepakitusi ir DNS užklausoms toliau bus naudojamas sistemos sprendėjas.
Svarbus skirtumas nuo DoH įdiegimo Firefox, kuris palaipsniui įgalino DoH pagal numatytuosius nustatymus jau rugsėjo pabaigoje, nėra įpareigojimo vienai DoH tarnybai. Jei „Firefox“ pagal numatytuosius nustatymus CloudFlare DNS serverį, tada „Chrome“ atnaujins tik darbo su DNS metodą į lygiavertę paslaugą, nekeisdama DNS teikėjo. Pavyzdžiui, jei naudotojas turi sistemos nustatymuose nurodytą DNS 8.8.8.8, „Chrome“ tai padarys „Google DoH“ paslauga („https://dns.google.com/dns-query“), jei DNS yra 1.1.1.1, tada „Cloudflare DoH“ paslauga („https://cloudflare-dns.com/dns-query“) ir
Jei pageidauja, vartotojas gali įjungti arba išjungti DoH, naudodamas nustatymą „chrome://flags/#dns-over-https“. Palaikomi trys veikimo režimai: saugus, automatinis ir išjungtas. „Saugiame“ režime pagrindiniai kompiuteriai nustatomi tik pagal anksčiau talpykloje saugomas saugias reikšmes (gautas per saugų ryšį) ir užklausas per DoH; atsarginis įprasto DNS netaikomas. „Automatiniu“ režimu, jei DoH ir saugi talpykla nepasiekiami, duomenis galima nuskaityti iš nesaugios talpyklos ir pasiekti per tradicinį DNS. „Išjungus“ režimu pirmiausia patikrinama bendrinama talpykla ir, jei nėra duomenų, užklausa siunčiama per sistemos DNS. Režimas nustatomas per kDnsOverHttpsMode ir serverio susiejimo šabloną per kDnsOverHttpsTemplates.
Eksperimentas įgalinti DoH bus atliktas visose „Chrome“ palaikomose platformose, išskyrus „Linux“ ir „iOS“ dėl nereikšmingo sprendiklio nustatymų analizės ir prieigos prie sistemos DNS nustatymų apribojimo. Jei įjungus DoH kyla problemų siunčiant užklausas į DoH serverį (pavyzdžiui, dėl jo blokavimo, tinklo ryšio ar gedimo), naršyklė automatiškai grąžins sistemos DNS nustatymus.
Eksperimento tikslas – galutinai išbandyti DoH įgyvendinimą ir ištirti DoH naudojimo poveikį našumui. Reikėtų pažymėti, kad iš tikrųjų DoH parama buvo vasario mėn. į „Chrome“ kodų bazę, bet sukonfigūruoti ir įgalinti DoH „Chrome“ paleidimas su specialia vėliavėle ir neakivaizdžiu parinkčių rinkiniu.
Prisiminkime, kad DoH gali būti naudinga siekiant užkirsti kelią informacijos nutekėjimui apie prašomus pagrindinio kompiuterio pavadinimus per teikėjų DNS serverius, kovojant su MITM atakomis ir DNS srauto klastojimu (pavyzdžiui, prisijungiant prie viešojo Wi-Fi), kovojant su blokavimu DNS. lygiu (DoH negali pakeisti VPN DPI lygiu įdiegto blokavimo apėjimo srityje) arba darbo organizavimui, jei neįmanoma tiesiogiai pasiekti DNS serverių (pavyzdžiui, dirbant per tarpinį serverį). Jei įprastoje situacijoje DNS užklausos yra tiesiogiai siunčiamos į sistemos konfigūracijoje nurodytus DNS serverius, tai DoH atveju užklausa nustatyti pagrindinio kompiuterio IP adresą yra inkapsuliuojama į HTTPS srautą ir siunčiama į HTTP serverį, kur sprendiklis apdoroja. užklausų per žiniatinklio API. Esamas DNSSEC standartas naudoja šifravimą tik kliento ir serverio autentifikavimui, tačiau neapsaugo srauto nuo perėmimo ir negarantuoja užklausų konfidencialumo.
Šaltinis: opennet.ru