Sledovanie spoločnosť Google o zámere uskutočniť experiment na testovanie implementácie „DNS over HTTPS“ (DoH, DNS over HTTPS), ktorá sa vyvíja pre prehliadač Chrome. Chrome 78, naplánovaný na 22. októbra, bude mať predvolene niektoré kategórie používateľov použiť DoH. Iba používatelia, ktorých aktuálne systémové nastavenia špecifikujú určitých poskytovateľov DNS uznaných ako kompatibilných s DoH, sa zúčastnia experimentu na aktiváciu DoH.
Biely zoznam poskytovateľov DNS zahŕňa Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112) 185.228.168.168, 185.228.169.168) a DNS.SB (185.222.222.222, 185.184.222.222). Ak nastavenia DNS používateľa určujú jeden z vyššie uvedených serverov DNS, DoH v prehliadači Chrome bude predvolene povolené. Pre tých, ktorí používajú servery DNS poskytované ich miestnym poskytovateľom internetu, všetko zostane nezmenené a systémový resolver sa bude naďalej používať na dotazy DNS.
Dôležitý rozdiel oproti implementácii DoH vo Firefoxe, ktorý postupne v predvolenom nastavení povolil DoH už koncom septembra chýba viazanosť na jednu službu DoH. Ak je predvolene vo Firefoxe CloudFlare DNS server, potom Chrome iba aktualizuje metódu práce s DNS na ekvivalentnú službu bez zmeny poskytovateľa DNS. Napríklad, ak má používateľ v systémových nastaveniach zadaný DNS 8.8.8.8, Chrome to urobí Služba Google DoH („https://dns.google.com/dns-query“), ak je DNS 1.1.1.1, potom služba Cloudflare DoH („https://cloudflare-dns.com/dns-query“) A
V prípade potreby môže používateľ povoliť alebo zakázať DoH pomocou nastavenia „chrome://flags/#dns-over-https“. Podporované sú tri prevádzkové režimy: bezpečný, automatický a vypnutý. V „zabezpečenom“ režime sú hostitelia určovaní iba na základe predtým uložených zabezpečených hodnôt (prijatých prostredníctvom zabezpečeného pripojenia) a žiadostí prostredníctvom DoH; neuplatňuje sa záložný prístup k bežnému DNS. V „automatickom“ režime, ak DoH a zabezpečená vyrovnávacia pamäť nie sú k dispozícii, údaje možno získať z nezabezpečenej vyrovnávacej pamäte a pristupovať k nim prostredníctvom tradičného DNS. Vo vypnutom režime sa najprv skontroluje zdieľaná vyrovnávacia pamäť a ak neexistujú žiadne údaje, požiadavka sa odošle cez systémový DNS. Režim sa nastavuje cez kDnsOverHttpsMode a šablónu mapovania servera prostredníctvom kDnsOverHttpsTemplates.
Experiment na aktiváciu DoH sa uskutoční na všetkých platformách podporovaných v prehliadači Chrome, s výnimkou systémov Linux a iOS, a to z dôvodu netriviálnej povahy nastavení prekladača analýzy a obmedzenia prístupu k systémovým nastaveniam DNS. Ak sa po povolení DoH vyskytnú problémy s odosielaním požiadaviek na server DoH (napríklad z dôvodu jeho zablokovania, sieťového pripojenia alebo zlyhania), prehliadač automaticky vráti systémové nastavenia DNS.
Účelom experimentu je finálne otestovať implementáciu DoH a študovať vplyv používania DoH na výkon. Treba poznamenať, že v skutočnosti podpora DoH bola do kódovej základne prehliadača Chrome ešte vo februári, ale nakonfigurovať a povoliť DoH spustenie prehliadača Chrome so špeciálnou vlajkou a nezrejmým súborom možností.
Pripomeňme si, že DoH môže byť užitočné na zabránenie úniku informácií o požadovaných názvoch hostiteľov cez servery DNS poskytovateľov, na boj proti útokom MITM a spoofingu DNS prevádzky (napríklad pri pripájaní k verejnej sieti Wi-Fi), proti blokovaniu na DNS. úroveň (DoH nemôže nahradiť VPN v oblasti obchádzania blokovania implementovaného na úrovni DPI) alebo na organizovanie práce, ak nie je možné priamo pristupovať k serverom DNS (napríklad pri práci cez proxy). Ak sa v normálnej situácii požiadavky DNS odosielajú priamo na servery DNS definované v konfigurácii systému, potom v prípade DoH je požiadavka na určenie adresy IP hostiteľa zapuzdrená v prenose HTTPS a odoslaná na server HTTP, kde prekladač spracuje žiadosti cez webové rozhranie API. Existujúci štandard DNSSEC používa šifrovanie iba na autentifikáciu klienta a servera, ale nechráni prevádzku pred zachytením a nezaručuje dôvernosť požiadaviek.
Zdroj: opennet.ru