Следи Google компанија за намерата да се спроведе експеримент за тестирање на имплементацијата „DNS преку HTTPS“ (DoH, DNS преку HTTPS) што се развива за прелистувачот Chrome. Chrome 78, закажан за 22 октомври, стандардно ќе има некои категории на корисници да се користи DoH. Само корисници чии тековни системски поставки специфицираат одредени даватели на DNS препознаени како компатибилни со DoH ќе учествуваат во експериментот за да се овозможи DoH.
Белата листа на провајдери на DNS вклучува Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112. .185.228.168.168 185.228.169.168 , 185.222.222.222) и DNS.SB (185.184.222.222, XNUMX). Ако поставките за DNS на корисникот наведат еден од горенаведените DNS сервери, DoH во Chrome ќе биде стандардно овозможено. За оние кои користат DNS сервери обезбедени од нивниот локален интернет провајдер, сè ќе остане непроменето и системскиот разрешувач ќе продолжи да се користи за DNS прашања.
Важна разлика од имплементацијата на DoH во Firefox, која постепено го овозможи DoH стандардно веќе на крајот на септември, е недостатокот на обврзувачки за една услуга DoH. Ако стандардно е во Firefox CloudFlare DNS сервер, а потоа Chrome само ќе го ажурира начинот на работа со DNS на еквивалентна услуга, без да го менува давателот на DNS. На пример, ако корисникот има DNS 8.8.8.8 наведен во системските поставки, тогаш Chrome ќе Google DoH услуга („https://dns.google.com/dns-query“), ако DNS е 1.1.1.1, тогаш услугата Cloudflare DoH („https://cloudflare-dns.com/dns-query“) и
Доколку сакате, корисникот може да овозможи или оневозможи DoH користејќи ја поставката „chrome://flags/#dns-over-https“. Поддржани се три режими на работа: безбеден, автоматски и исклучен. Во режимот „безбеден“, хостовите се одредуваат само врз основа на претходно кеширани безбедни вредности (примени преку безбедна врска) и барања преку DoH; не се применува резерва на обичен DNS. Во „автоматскиот“ режим, ако DoH и безбедната кеш не се достапни, податоците може да се преземат од небезбедниот кеш и да се пристапи преку традиционалниот DNS. Во режимот „исклучено“, прво се проверува споделениот кеш и ако нема податоци, барањето се испраќа преку системскиот DNS. Режимот е поставен преку kDnsOverHttpsMode , и шаблонот за мапирање на серверот преку kDnsOverHttpsTemplates.
Експериментот за овозможување DoH ќе се спроведе на сите платформи поддржани во Chrome, со исклучок на Linux и iOS поради нетривијалната природа на парсирање на поставките за резолуција и ограничување на пристапот до системските DNS поставки. Ако, по овозможувањето DoH, има проблеми со испраќање барања до серверот DoH (на пример, поради негово блокирање, мрежно поврзување или неуспех), прелистувачот автоматски ќе ги врати системските DNS поставки.
Целта на експериментот е конечно да се тестира имплементацијата на DoH и да се проучи влијанието на користењето DoH врз перформансите. Треба да се напомене дека всушност поддршката на DoH беше во базата на кодови на Chrome уште во февруари, но за да го конфигурирате и овозможите DoH лансирање на Chrome со специјално знаменце и неочигледен сет на опции.
Да потсетиме дека DoH може да биде корисно за спречување протекување информации за бараните имиња на домаќините преку DNS серверите на провајдерите, борба против нападите MITM и измама на сообраќајот DNS (на пример, при поврзување на јавен Wi-Fi), спречување блокирање на DNS ниво (DoH не може да замени VPN во областа на заобиколување на блокирање имплементирано на ниво на DPI) или за организирање на работа ако е невозможно директно да се пристапи до серверите DNS (на пример, кога се работи преку прокси). Ако во нормална ситуација барањата за DNS се директно испратени до серверите DNS дефинирани во системската конфигурација, тогаш во случајот со DoH, барањето за одредување на IP адресата на домаќинот е инкапсулирано во сообраќајот HTTPS и се испраќа до серверот HTTP, каде што решавачот обработува барања преку Web API. Постојниот стандард DNSSEC користи шифрирање само за автентикација на клиентот и серверот, но не го штити сообраќајот од пресретнување и не гарантира доверливост на барањата.
Извор: opennet.ru