Ca urmare a Compania Google despre intenția de a efectua un experiment pentru a testa implementarea „DNS over HTTPS” (DoH, DNS over HTTPS) în curs de dezvoltare pentru browserul Chrome. Chrome 78, programat pentru 22 octombrie, va avea unele categorii de utilizatori în mod implicit pentru a utiliza DoH. Numai utilizatorii ale căror setări curente de sistem specifică anumiți furnizori DNS recunoscuți ca compatibili cu DoH vor lua parte la experimentul pentru a activa DoH.
Lista albă a furnizorilor de DNS include Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), Opendns (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Cleanbrowsing (185.228.168.168 185.228.169.168 , 185.222.222.222) și DNS.SB (185.184.222.222, XNUMX). Dacă setările DNS ale utilizatorului specifică unul dintre serverele DNS menționate mai sus, DoH în Chrome va fi activat în mod implicit. Pentru cei care folosesc servere DNS furnizate de furnizorul lor local de internet, totul va rămâne neschimbat, iar soluția de sistem va fi folosită în continuare pentru interogările DNS.
O diferență importantă față de implementarea DoH în Firefox, care a activat treptat DoH în mod implicit deja la sfârșitul lunii septembrie, este lipsa de legare la un serviciu DoH. Dacă în Firefox în mod implicit CloudFlare DNS server, apoi Chrome va actualiza doar metoda de lucru cu DNS la un serviciu echivalent, fără a schimba furnizorul DNS. De exemplu, dacă utilizatorul are DNS 8.8.8.8 specificat în setările sistemului, atunci Chrome o va face Serviciul Google DoH (“https://dns.google.com/dns-query”), dacă DNS este 1.1.1.1, atunci serviciul Cloudflare DoH (“https://cloudflare-dns.com/dns-query”) și
Dacă dorește, utilizatorul poate activa sau dezactiva DoH folosind setarea „chrome://flags/#dns-over-https”. Sunt acceptate trei moduri de operare: securizat, automat și oprit. În modul „securizat”, gazdele sunt determinate numai pe baza valorilor securizate memorate anterior în cache (primite printr-o conexiune securizată) și a solicitărilor prin DoH; nu se aplică alternativa la DNS obișnuit. În modul „automat”, dacă DoH și memoria cache securizată nu sunt disponibile, datele pot fi preluate din memoria cache nesigură și accesate prin DNS tradițional. În modul „off”, memoria cache partajată este mai întâi verificată și, dacă nu există date, cererea este trimisă prin DNS-ul sistemului. Modul este setat prin kDnsOverHttpsMode și șablonul de mapare a serverului prin kDnsOverHttpsTemplates.
Experimentul de activare a DoH va fi efectuat pe toate platformele acceptate în Chrome, cu excepția Linux și iOS, din cauza naturii netriviale a analizării setărilor rezolutorului și a restricționării accesului la setările DNS ale sistemului. Dacă, după activarea DoH, apar probleme la trimiterea cererilor către serverul DoH (de exemplu, din cauza blocării acestuia, a conectivității la rețea sau a defecțiunii), browserul va returna automat setările DNS ale sistemului.
Scopul experimentului este testarea finală a implementării DoH și studierea impactului utilizării DoH asupra performanței. Trebuie remarcat faptul că, de fapt, sprijinul DoH a fost în baza de cod Chrome încă din februarie, dar pentru a configura și a activa DoH lansarea Chrome cu un steag special și un set neevident de opțiuni.
Să reamintim că DoH poate fi util pentru prevenirea scurgerilor de informații despre numele gazdelor solicitate prin serverele DNS ale furnizorilor, combaterea atacurilor MITM și a falsării traficului DNS (de exemplu, la conectarea la Wi-Fi public), contracararea blocării la DNS nivel (DoH nu poate înlocui un VPN în zona de ocolire a blocării implementate la nivel DPI) sau pentru organizarea muncii dacă este imposibil să accesați direct serverele DNS (de exemplu, atunci când lucrați printr-un proxy). Dacă într-o situație normală cererile DNS sunt trimise direct către serverele DNS definite în configurația sistemului, atunci în cazul DoH, cererea de determinare a adresei IP a gazdei este încapsulată în traficul HTTPS și trimisă către serverul HTTP, unde rezolutorul procesează solicitări prin intermediul API-ului web. Standardul DNSSEC existent folosește criptarea doar pentru a autentifica clientul și serverul, dar nu protejează traficul de interceptări și nu garantează confidențialitatea solicitărilor.
Sursa: opennet.ru