Følgende Google-selskap om intensjonen om å gjennomføre et eksperiment for å teste implementeringen "DNS over HTTPS" (DoH, DNS over HTTPS) som utvikles for Chrome-nettleseren. Chrome 78, planlagt til 22. oktober, vil ha noen brukerkategorier som standard å bruke DoH. Bare brukere hvis gjeldende systeminnstillinger spesifiserer visse DNS-leverandører som er anerkjent som kompatible med DoH, vil delta i eksperimentet for å aktivere DoH.
Den hvite listen over DNS-leverandører inkluderer Google (8.8.8.8, 8.8.4.4), CloudFlare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112). 185.228.168.168, 185.228.169.168) og DNS.SB (185.222.222.222, 185.184.222.222). Hvis brukerens DNS-innstillinger spesifiserer en av de ovennevnte DNS-serverne, vil DoH i Chrome være aktivert som standard. For de som bruker DNS-servere levert av deres lokale Internett-leverandør, vil alt forbli uendret og systemløseren vil fortsette å bli brukt til DNS-spørringer.
En viktig forskjell fra implementeringen av DoH i Firefox, som gradvis aktivert DoH som standard allerede i slutten av september, er mangelen på binding til én DoH-tjeneste. Hvis i Firefox som standard CloudFlare DNS-server, da vil Chrome bare oppdatere metoden for å jobbe med DNS til en tilsvarende tjeneste, uten å endre DNS-leverandøren. For eksempel, hvis brukeren har DNS 8.8.8.8 spesifisert i systeminnstillingene, vil Chrome gjøre det Google DoH-tjeneste ("https://dns.google.com/dns-query"), hvis DNS er 1.1.1.1, så Cloudflare DoH-tjeneste ("https://cloudflare-dns.com/dns-query") og
Hvis ønskelig, kan brukeren aktivere eller deaktivere DoH ved å bruke "chrome://flags/#dns-over-https"-innstillingen. Tre driftsmoduser støttes: sikker, automatisk og av. I "sikker" modus bestemmes verter kun basert på tidligere hurtigbufrede sikre verdier (mottatt via en sikker tilkobling) og forespørsler via DoH; fallback til vanlig DNS brukes ikke. I "automatisk" modus, hvis DoH og den sikre cachen ikke er tilgjengelig, kan data hentes fra den usikre cachen og få tilgang til gjennom tradisjonell DNS. I "av"-modus blir den delte hurtigbufferen først sjekket, og hvis det ikke er data, sendes forespørselen gjennom systemets DNS. Modusen stilles inn via kDnsOverHttpsMode , og serverkartleggingsmalen gjennom kDnsOverHttpsTemplates.
Eksperimentet for å aktivere DoH vil bli utført på alle plattformer som støttes i Chrome, med unntak av Linux og iOS på grunn av den ikke-trivielle naturen til å analysere oppløsningsinnstillinger og begrense tilgangen til systemets DNS-innstillinger. Hvis det, etter å ha aktivert DoH, er problemer med å sende forespørsler til DoH-serveren (for eksempel på grunn av blokkering, nettverkstilkobling eller feil), vil nettleseren automatisk returnere systemets DNS-innstillinger.
Formålet med eksperimentet er å endelig teste implementeringen av DoH og studere effekten av å bruke DoH på ytelsen. Det skal bemerkes at DoH-støtte faktisk var inn i Chrome-kodebasen tilbake i februar, men for å konfigurere og aktivere DoH lanserer Chrome med et spesielt flagg og et ikke-opplagt sett med alternativer.
La oss huske at DoH kan være nyttig for å forhindre lekkasjer av informasjon om de forespurte vertsnavnene gjennom DNS-serverne til leverandører, bekjempe MITM-angrep og DNS-trafikk-spoofing (for eksempel når du kobler til offentlig Wi-Fi), motvirke blokkering på DNS. nivå (DoH kan ikke erstatte en VPN i området for å omgå blokkering implementert på DPI-nivå) eller for organisering av arbeid hvis det er umulig å få direkte tilgang til DNS-servere (for eksempel når du arbeider gjennom en proxy). Hvis DNS-forespørsler i en normal situasjon sendes direkte til DNS-servere som er definert i systemkonfigurasjonen, er forespørselen om å bestemme vertens IP-adresse, i tilfelle av DoH, innkapslet i HTTPS-trafikk og sendt til HTTP-serveren, hvor løseren behandler forespørsler via web-API. Den eksisterende DNSSEC-standarden bruker kryptering kun for å autentisere klienten og serveren, men beskytter ikke trafikk mot avlytting og garanterer ikke konfidensialiteten til forespørsler.
Kilde: opennet.ru