Wara kumpanija Google dwar l-intenzjoni li jsir esperiment biex tittestja l-implimentazzjoni "DNS over HTTPS" (DoH, DNS over HTTPS) li qed tiġi żviluppata għall-browser Chrome. Chrome 78, skedat għat-22 ta' Ottubru, se jkollu xi kategoriji ta' utenti awtomatikament biex tuża DoH. Utenti biss li s-settings tas-sistema attwali tagħhom jispeċifikaw ċerti fornituri tad-DNS rikonoxxuti bħala kompatibbli mad-DoH se jieħdu sehem fl-esperiment biex jippermettu d-DoH.
Fornituri tad-DNS fil-lista l-bajda inklużi Google (8.8.8.8, 8.8.4.4), CloudFlare (1.1.1.1, 1.0.0.1), Opendns (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Cleanbrowsing (185.228.168.168 , 185.228.169.168) u DNS.SB (185.222.222.222, 185.184.222.222). Jekk is-settings tad-DNS tal-utent jispeċifikaw wieħed mis-servers DNS imsemmija hawn fuq, DoH fil-Chrome se jkun attivat awtomatikament. Għal dawk li jużaw servers tad-DNS ipprovduti mill-fornitur lokali tal-Internet tagħhom, kollox se jibqa' mhux mibdul u s-sistema tas-sistema se tkompli tintuża għal mistoqsijiet DNS.
Differenza importanti mill-implimentazzjoni ta 'DoH fil-Firefox, li gradwalment ppermettiet DoH awtomatikament diġà fl-aħħar ta 'Settembru, huwa n-nuqqas ta' rabta ma' servizz wieħed DoH. Jekk fil-Firefox awtomatikament CloudFlare DNS server, allura Chrome se jaġġorna biss il-metodu ta 'ħidma mad-DNS għal servizz ekwivalenti, mingħajr ma jbiddel il-fornitur tad-DNS. Pereżempju, jekk l-utent għandu DNS 8.8.8.8 speċifikat fis-settings tas-sistema, allura Chrome se Servizz Google DoH (“https://dns.google.com/dns-query”), jekk DNS huwa 1.1.1.1, allura servizz Cloudflare DoH (“https://cloudflare-dns.com/dns-query”) U
Jekk mixtieq, l-utent jista’ jattiva jew jiskonnettja DoH billi juża l-issettjar “chrome://flags/#dns-over-https”. Tliet modi operattivi huma appoġġjati: sigur, awtomatiku u mitfi. Fil-modalità "sikura", l-ospiti huma determinati biss fuq il-bażi ta' valuri siguri preċedentement miżmuma fil-cache (riċevuti permezz ta' konnessjoni sigura) u talbiet permezz ta' DoH; riżerva għal DNS regolari mhix applikata. Fil-modalità "awtomatika", jekk id-DoH u l-cache sigur ma jkunux disponibbli, id-dejta tista 'tiġi rkuprata mill-cache mhux sigura u tiġi aċċessata permezz tad-DNS tradizzjonali. Fil-modalità "mitfija", il-cache kondiviża tiġi l-ewwel iċċekkjata u jekk ma jkunx hemm dejta, it-talba tintbagħat permezz tas-DNS tas-sistema. Il-mod huwa ssettjat permezz kDnsOverHttpsMode , u l-mudell tal-mapping tas-server permezz ta’ kDnsOverHttpsTemplates.
L-esperiment li jippermetti DoH se jitwettaq fuq il-pjattaformi kollha appoġġjati fil-Chrome, bl-eċċezzjoni tal-Linux u l-iOS minħabba n-natura mhux trivjali tal-parsing tas-settings tar-risolventi u r-restrizzjoni tal-aċċess għas-settings tad-DNS tas-sistema. Jekk, wara li tkun attivata DoH, ikun hemm problemi biex jintbagħtu talbiet lis-server DoH (pereżempju, minħabba l-imblukkar tiegħu, il-konnettività tan-netwerk jew il-falliment), il-browser awtomatikament jirritorna s-settings tad-DNS tas-sistema.
L-iskop tal-esperiment huwa li tittestja finali l-implimentazzjoni tad-DoH u tistudja l-impatt tal-użu tad-DoH fuq il-prestazzjoni. Ta' min jinnota li fil-fatt l-appoġġ tad-DoH kien fil-codebase tal-Chrome lura fi Frar, iżda biex tikkonfigura u tippermetti DoH tnedija ta' Chrome b'bandiera speċjali u sett ta' għażliet mhux ovvji.
Ejja nfakkru li DoH jista 'jkun utli għall-prevenzjoni ta' tnixxijiet ta 'informazzjoni dwar l-ismijiet tal-host mitluba permezz tas-servers DNS tal-fornituri, jiġġieldu attakki MITM u spoofing tat-traffiku DNS (per eżempju, meta tikkonnettja ma' Wi-Fi pubbliku), jiġġieldu l-imblukkar fid-DNS livell (DoH ma tistax tissostitwixxi VPN fil-qasam tal-imblukkar ta’ bypassing implimentat fil-livell DPI) jew għall-organizzazzjoni tax-xogħol jekk ikun impossibbli li taċċessa direttament servers DNS (pereżempju, meta taħdem permezz ta’ proxy). Jekk f'sitwazzjoni normali talbiet DNS jintbagħtu direttament lil servers DNS definiti fil-konfigurazzjoni tas-sistema, allura fil-każ ta 'DoH, it-talba biex jiġi ddeterminat l-indirizz IP tal-host hija inkapsulata fit-traffiku HTTPS u mibgħuta lis-server HTTP, fejn is-solvent jipproċessa talbiet permezz tal-Web API. L-istandard DNSSEC eżistenti juża l-kriptaġġ biss biex jawtentika l-klijent u s-server, iżda ma jipproteġix it-traffiku mill-interċettazzjoni u ma jiggarantixxix il-kunfidenzjalità tat-talbiet.
Sors: opennet.ru