FANARAHANA orinasa Google momba ny fikasana hanao andrana hanandrana ny fampiharana “DNS over HTTPS” (DoH, DNS over HTTPS) izay novolavolaina ho an'ny navigateur Chrome. Chrome 78, voalahatra amin'ny 22 Oktobra, dia hanana sokajy mpampiasa sasany amin'ny alàlan'ny default mampiasa DoH. Ireo mpampiasa izay manana rafitra ankehitriny mamaritra ny mpanome DNS sasany fantatra fa mifanaraka amin'ny DoH ihany no handray anjara amin'ny andrana ahafahan'ny DoH.
Ny lisitra fotsy amin'ny mpamatsy DNS dia misy Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112. 185.228.168.168, 185.228.169.168) ary DNS.SB (185.222.222.222, 185.184.222.222). Raha mamaritra ny iray amin'ireo mpizara DNS voalaza etsy ambony ny firafitry ny DNS an'ny mpampiasa, dia alefa amin'ny alàlan'ny default ny DoH ao amin'ny Chrome. Ho an'ireo izay mampiasa lohamilina DNS nomen'ny mpamatsy aterineto ao an-toerana, dia hitoetra tsy hiova ny zava-drehetra ary mbola hampiasaina amin'ny fanontaniana DNS ny mpandrindra ny rafitra.
Fahasamihafana lehibe amin'ny fampiharana ny DoH ao amin'ny Firefox, izay nahafahan'ny DoH tsikelikely Efa amin'ny faran'ny volana septambra izao, ny tsy fisian'ny fifamatorana amin'ny serivisy DoH iray. Raha ao amin'ny Firefox amin'ny alàlan'ny default CloudFlare DNS server, avy eo Chrome dia hanavao ny fomba fiasa miaraka amin'ny DNS amin'ny serivisy mitovy, tsy manova ny mpamatsy DNS. Ohatra, raha manana DNS 8.8.8.8 voatondro ao amin'ny firafitry ny rafitra ny mpampiasa, dia hanao izany i Chrome Serivisy Google DoH (“https://dns.google.com/dns-query”), raha 1.1.1.1 ny DNS, dia serivisy Cloudflare DoH (“https://cloudflare-dns.com/dns-query”) Ary
Raha tiana, ny mpampiasa dia afaka mamela na manafoana ny DoH amin'ny fampiasana ny "chrome://flags/#dns-over-https". Fomba fiasa telo no tohana: azo antoka, mandeha ho azy ary maty. Ao amin'ny fomba "azo antoka", ny mpampiantrano dia tsy miankina afa-tsy amin'ny soatoavina azo antoka teo aloha (voaray amin'ny alàlan'ny fifandraisana azo antoka) sy ny fangatahana amin'ny alàlan'ny DoH; tsy mihatra ny fiverenana amin'ny DNS mahazatra. Amin'ny fomba "automatique", raha tsy misy ny DoH sy ny cache azo antoka, dia azo alaina avy amin'ny cache tsy azo antoka ny angon-drakitra ary idirana amin'ny DNS mahazatra. Ao amin'ny mode "off", ny cache nozaraina dia voamarika voalohany ary raha tsy misy angona dia alefa amin'ny alàlan'ny DNS rafitra ny fangatahana. Ny fomba dia napetraka amin'ny kDnsOverHttpsMode , ary ny maodelin'ny sarintany amin'ny alàlan'ny kDnsOverHttpsTemplates.
Ny fanandramana ahafahan'ny DoH dia hatao amin'ny sehatra rehetra tohana ao amin'ny Chrome, afa-tsy ny Linux sy iOS noho ny toetra tsy misy dikany amin'ny famahana ny famahana olana sy ny famerana ny fidirana amin'ny firafitry ny DNS rafitra. Raha toa ka misy olana amin'ny fandefasana fangatahana any amin'ny mpizara DoH, aorian'ny fampandehanana ny DoH (ohatra, noho ny fanakanana azy, ny fifandraisana amin'ny tambajotra na ny tsy fahombiazany), dia hamerina ho azy ny rafitra DNS ny navigateur.
Ny tanjon'ny fanandramana dia ny fitsapana farany ny fampiharana ny DoH sy ny fandalinana ny fiantraikan'ny fampiasana DoH amin'ny fahombiazany. Marihina fa raha ny marina dia nisy ny fanohanana ny DoH ao amin'ny codebase Chrome tamin'ny volana febroary, fa mba handrindrana sy ahafahan'ny DoH fandefasana Chrome miaraka amin'ny saina manokana sy safidy tsy mazava.
Aoka hotsaroantsika fa ny DoH dia mety ilaina amin'ny fisorohana ny fiparitahan'ny vaovao momba ny anaran'ny mpampiantrano nangatahana amin'ny alàlan'ny mpizara DNS an'ny mpamatsy, ny ady amin'ny fanafihana MITM sy ny fanodikodinana fifamoivoizana DNS (ohatra, rehefa mifandray amin'ny Wi-Fi ho an'ny daholobe), manohitra ny fanakanana ny DNS. level (Tsy afaka manolo VPN ny DoH eo amin'ny sehatry ny fanakanana izay ampiharina amin'ny ambaratonga DPI) na amin'ny fandaminana asa raha tsy azo atao ny miditra mivantana amin'ny mpizara DNS (ohatra, rehefa miasa amin'ny proxy). Raha amin'ny toe-javatra mahazatra, ny fangatahana DNS dia alefa mivantana any amin'ireo mpizara DNS voafaritra ao amin'ny rafitry ny rafitra, raha ny DoH, ny fangatahana hamaritana ny adiresy IP an'ny mpampiantrano dia voarakitra ao amin'ny fifamoivoizana HTTPS ary alefa any amin'ny mpizara HTTP, izay misy ny fizotran'ny solver. fangatahana amin'ny alàlan'ny Web API. Ny fenitra DNSSEC efa misy dia mampiasa encryption fotsiny mba hanamarinana ny mpanjifa sy ny mpizara, fa tsy miaro ny fifamoivoizana amin'ny fisakanana ary tsy miantoka ny tsiambaratelon'ny fangatahana.
Source: opennet.ru