Mengikuti syarikat Google tentang niat untuk menjalankan percubaan untuk menguji pelaksanaan "DNS over HTTPS" (DoH, DNS over HTTPS) yang sedang dibangunkan untuk penyemak imbas Chrome. Chrome 78, yang dijadualkan pada 22 Oktober, akan mempunyai beberapa kategori pengguna secara lalai untuk menggunakan DoH. Hanya pengguna yang tetapan sistem semasanya menyatakan pembekal DNS tertentu yang diiktiraf sebagai serasi dengan DoH akan mengambil bahagian dalam percubaan untuk mendayakan DoH.
Senarai putih pembekal DNS termasuk Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), 185.228.168.168. 185.228.169.168, 185.222.222.222) dan DNS.SB (185.184.222.222, XNUMX). Jika tetapan DNS pengguna menentukan salah satu pelayan DNS yang disebutkan di atas, DoH dalam Chrome akan diaktifkan secara lalai. Bagi mereka yang menggunakan pelayan DNS yang disediakan oleh pembekal Internet tempatan mereka, semuanya akan kekal tidak berubah dan penyelesai sistem akan terus digunakan untuk pertanyaan DNS.
Perbezaan penting daripada pelaksanaan DoH dalam Firefox, yang secara beransur-ansur membolehkan DoH secara lalai sudah pada penghujung bulan September, adalah kekurangan mengikat satu perkhidmatan DoH. Jika dalam Firefox secara lalai Pelayan DNS CloudFlare, maka Chrome hanya akan mengemas kini kaedah bekerja dengan DNS kepada perkhidmatan yang setara, tanpa menukar pembekal DNS. Contohnya, jika pengguna mempunyai DNS 8.8.8.8 yang dinyatakan dalam tetapan sistem, maka Chrome akan melakukannya Perkhidmatan Google DoH (βhttps://dns.google.com/dns-queryβ), jika DNS ialah 1.1.1.1, maka perkhidmatan Cloudflare DoH (βhttps://cloudflare-dns.com/dns-queryβ) Dan
Jika mahu, pengguna boleh mendayakan atau melumpuhkan DoH menggunakan tetapan "chrome://flags/#dns-over-https". Tiga mod pengendalian disokong: selamat, automatik dan mati. Dalam mod "selamat", hos ditentukan hanya berdasarkan nilai selamat yang dicache sebelum ini (diterima melalui sambungan selamat) dan permintaan melalui DoH; sandaran kepada DNS biasa tidak digunakan. Dalam mod "automatik", jika DoH dan cache selamat tidak tersedia, data boleh diambil daripada cache tidak selamat dan diakses melalui DNS tradisional. Dalam mod "mati", cache yang dikongsi terlebih dahulu diperiksa dan jika tiada data, permintaan dihantar melalui DNS sistem. Mod ditetapkan melalui kDnsOverHttpsMode , dan templat pemetaan pelayan melalui kDnsOverHttpsTemplates.
Percubaan untuk mendayakan DoH akan dijalankan pada semua platform yang disokong dalam Chrome, kecuali Linux dan iOS disebabkan oleh sifat tidak remeh dalam menghurai tetapan penyelesai dan menyekat akses kepada tetapan DNS sistem. Jika, selepas mendayakan DoH, terdapat masalah menghantar permintaan kepada pelayan DoH (contohnya, disebabkan penyekatan, sambungan rangkaian atau kegagalannya), penyemak imbas akan mengembalikan tetapan DNS sistem secara automatik.
Tujuan eksperimen adalah untuk menguji akhir pelaksanaan DoH dan mengkaji kesan penggunaan DoH terhadap prestasi. Perlu diingat bahawa sebenarnya sokongan DoH adalah ke dalam pangkalan kod Chrome pada bulan Februari, tetapi untuk mengkonfigurasi dan mendayakan DoH melancarkan Chrome dengan bendera khas dan set pilihan yang tidak jelas.
Mari kita ingat bahawa DoH boleh berguna untuk mencegah kebocoran maklumat tentang nama hos yang diminta melalui pelayan DNS pembekal, memerangi serangan MITM dan penipuan trafik DNS (contohnya, apabila menyambung ke Wi-Fi awam), mengatasi sekatan di DNS tahap (DoH tidak boleh menggantikan VPN dalam bidang memintas menyekat yang dilaksanakan di peringkat DPI) atau untuk mengatur kerja jika mustahil untuk mengakses pelayan DNS secara langsung (contohnya, apabila bekerja melalui proksi). Jika dalam keadaan biasa permintaan DNS dihantar terus ke pelayan DNS yang ditakrifkan dalam konfigurasi sistem, maka dalam kes DoH, permintaan untuk menentukan alamat IP hos dirangkumkan dalam trafik HTTPS dan dihantar ke pelayan HTTP, di mana penyelesai memproses permintaan melalui API Web. Standard DNSSEC sedia ada menggunakan penyulitan hanya untuk mengesahkan klien dan pelayan, tetapi tidak melindungi trafik daripada pemintasan dan tidak menjamin kerahsiaan permintaan.
Sumber: opennet.ru