Дагаж байна Google компани Chrome хөтчид зориулан хөгжүүлж буй "HTTPS дээр DNS" (DoH, HTTPS гаруй DNS) хэрэгжилтийг турших туршилт хийх зорилгын талаар. 78-р сарын 22-нд төлөвлөгдсөн Chrome XNUMX нь анхдагчаар зарим хэрэглэгчийн ангилалтай байх болно DoH ашиглах. Зөвхөн одоогийн системийн тохиргоо нь ЭМГ-тай нийцтэй гэж хүлээн зөвшөөрөгдсөн тодорхой DNS үйлчилгээ үзүүлэгчийг зааж өгсөн хэрэглэгчид DoH-г идэвхжүүлэх туршилтад оролцоно.
DNS үйлчилгээ үзүүлэгчдийн цагаан жагсаалтад орно Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, Цэвэр (149.112.112.112.row), 185.228.168.168.row). . 185.228.169.168, 185.222.222.222) болон DNS.SB (185.184.222.222, XNUMX). Хэрэв хэрэглэгчийн DNS тохиргоонд дээр дурдсан DNS серверүүдийн аль нэгийг зааж өгсөн бол Chrome дахь DoH анхдагчаар идэвхждэг. Орон нутгийн интернет үйлчилгээ үзүүлэгчийнхээ өгсөн DNS серверийг ашигладаг хүмүүсийн хувьд бүх зүйл өөрчлөгдөөгүй бөгөөд систем шийдэгчийг DNS асуулгад үргэлжлүүлэн ашиглах болно.
DoH-г анхдагчаар аажмаар идэвхжүүлсэн Firefox-д DoH-ийн хэрэгжилтээс чухал ялгаа аль хэдийн есдүгээр сарын сүүлчээр, нэг ЭМГ-ын үйлчилгээтэй холбоотой байхгүй байна. Хэрэв анхдагчаар Firefox дээр байгаа бол CloudFlare DNS серверийг ашиглавал Chrome нь DNS үйлчилгээ үзүүлэгчийг өөрчлөхгүйгээр зөвхөн DNS-тэй ажиллах аргыг ижил төрлийн үйлчилгээ болгон шинэчлэх болно. Жишээлбэл, хэрэв хэрэглэгч системийн тохиргоонд заасан DNS 8.8.8.8-тэй бол Chrome үүнийг хийх болно Google DoH үйлчилгээ (“https://dns.google.com/dns-query”), хэрэв DNS 1.1.1.1 бол Cloudflare DoH үйлчилгээ (“https://cloudflare-dns.com/dns-query”) мөн
Хэрэв хүсвэл хэрэглэгч "chrome://flags/#dns-over-https" тохиргоог ашиглан DoH-г идэвхжүүлж эсвэл идэвхгүй болгож болно. Аюулгүй, автомат, унтраах гэсэн гурван үйлдлийн горимыг дэмждэг. "Аюулгүй" горимд хостуудыг зөвхөн өмнө нь хадгалсан аюулгүй утгууд (аюулгүй холболтоор хүлээн авсан) болон DoH-ээр дамжуулан хүсэлтүүд дээр үндэслэн тодорхойлно; ердийн DNS руу буцаах боломжгүй. "Автомат" горимд, хэрэв DoH болон аюулгүй кэш боломжгүй бол найдвартай кэшээс өгөгдлийг сэргээж, уламжлалт DNS-ээр дамжуулан хандах боломжтой. "Унтраах" горимд эхлээд хуваалцсан кэшийг шалгаж, өгөгдөл байхгүй бол хүсэлтийг системийн DNS-ээр илгээдэг. горимыг тохируулна kDnsOverHttpsMode болон kDnsOverHttpsTemplates-ээр дамжуулан серверийн зураглалын загвар.
Шийдвэрлэгчийн тохиргоог задлан шинжилж, системийн DNS тохиргоонд хандах хандалтыг хязгаарладаг тул Linux болон iOS-ээс бусад Chrome-д дэмжигдсэн бүх платформ дээр DoH-г идэвхжүүлэх туршилтыг хийх болно. Хэрэв DoH-г идэвхжүүлсний дараа DoH сервер рүү хүсэлт илгээхэд асуудал гарвал (жишээлбэл, хаагдсан, сүлжээний холболт эсвэл бүтэлгүйтлийн улмаас) хөтөч нь системийн DNS тохиргоог автоматаар буцаана.
Туршилтын зорилго нь ЭМГ-ын хэрэгжилтийг эцсийн байдлаар шалгах, ЭМГ-ыг ашиглах нь гүйцэтгэлд үзүүлэх нөлөөг судлах явдал юм. Үнэндээ ЭМГ-ын дэмжлэг байсан гэдгийг тэмдэглэх нь зүйтэй XNUMX-р сард Chrome кодын сан руу буцах боловч DoH-г тохируулах, идэвхжүүлэх тусгай туг болон тодорхой бус сонголт бүхий Chrome-г ажиллуулж байна.
DoH нь үйлчилгээ үзүүлэгчийн DNS серверүүдээр дамжуулан хүссэн хостын нэрсийн талаарх мэдээлэл алдагдахаас урьдчилан сэргийлэх, MITM халдлага болон DNS траффик хуурамчаар үйлдэх (жишээлбэл, нийтийн Wi-Fi-д холбогдох үед), DNS-ийн блоклохыг эсэргүүцэхэд тустай гэдгийг санацгаая. түвшин (DoH нь DPI түвшинд хэрэгждэг хаалтыг тойрч гарах хэсэгт VPN-г орлож чадахгүй) эсвэл DNS серверт шууд хандах боломжгүй бол ажлыг зохион байгуулахад (жишээлбэл, прокси ашиглан ажиллах үед). Хэрэв ердийн нөхцөлд DNS хүсэлтийг системийн тохиргоонд тодорхойлсон DNS серверүүд рүү шууд илгээдэг бол DoH-ийн хувьд хостын IP хаягийг тодорхойлох хүсэлтийг HTTPS траффик дотор багтааж, шийдүүлэгч боловсруулдаг HTTP сервер рүү илгээдэг. Web API-ээр дамжуулан хүсэлт. Одоо байгаа DNSSEC стандарт нь зөвхөн үйлчлүүлэгч болон серверийг баталгаажуулахын тулд шифрлэлтийг ашигладаг боловч траффикийг саатуулахаас хамгаалахгүй бөгөөд хүсэлтийн нууцлалыг баталгаажуулдаггүй.
Эх сурвалж: opennet.ru