Sledim podjetje Google o nameri izvedbe eksperimenta za testiranje izvedbe »DNS prek HTTPS« (DoH, DNS prek HTTPS), ki se razvija za brskalnik Chrome. Chrome 78, predviden za 22. oktober, bo privzeto imel nekatere kategorije uporabnikov za uporabo DoH. Samo uporabniki, katerih trenutne sistemske nastavitve določajo določene ponudnike DNS, prepoznane kot združljive z DoH, bodo sodelovali v poskusu za omogočanje DoH.
Beli seznam ponudnikov DNS vključuje Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Cleanbrowsing (185.228.168.168. 185.228.169.168, 185.222.222.222) in DNS.SB (185.184.222.222, XNUMX). Če uporabnikove nastavitve DNS določajo enega od zgoraj omenjenih strežnikov DNS, bo DoH v Chromu privzeto omogočen. Za tiste, ki uporabljajo strežnike DNS, ki jih zagotavlja njihov lokalni internetni ponudnik, bo vse ostalo nespremenjeno in sistemski razreševalec se bo še naprej uporabljal za poizvedbe DNS.
Pomembna razlika od implementacije DoH v Firefoxu, ki je postopoma privzeto omogočil DoH že konec septembra, je odsotnost vezave na eno storitev DoH. Če je v Firefoxu privzeto Strežnik DNS CloudFlare, bo Chrome samo posodobil način dela z DNS na enakovredno storitev, ne da bi spremenil ponudnika DNS. Na primer, če ima uporabnik v sistemskih nastavitvah določen DNS 8.8.8.8, bo Chrome to storil Storitev Google DoH (»https://dns.google.com/dns-query«), če je DNS 1.1.1.1, potem storitev Cloudflare DoH (»https://cloudflare-dns.com/dns-query«) In
Če želi, lahko uporabnik omogoči ali onemogoči DoH z nastavitvijo »chrome://flags/#dns-over-https«. Podprti so trije načini delovanja: varen, samodejni in izklopljen. V »varnem« načinu so gostitelji določeni samo na podlagi predhodno predpomnjenih varnih vrednosti (prejetih prek varne povezave) in zahtev prek DoH; nadomestni način na običajni DNS se ne uporablja. Če DoH in varni predpomnilnik v »samodejnem« načinu nista na voljo, je podatke mogoče pridobiti iz nevarnega predpomnilnika in do njih dostopati prek tradicionalnega DNS-ja. V načinu “off” se najprej preveri skupni predpomnilnik in če ni podatkov, se zahteva pošlje prek sistemskega DNS-ja. Način se nastavi prek kDnsOverHttpsMode in predlogo za preslikavo strežnika prek kDnsOverHttpsTemplates.
Poskus za omogočanje DoH bo izveden na vseh platformah, ki jih podpira Chrome, z izjemo Linuxa in iOS zaradi netrivialne narave razčlenjevanja nastavitev razreševalnika in omejevanja dostopa do sistemskih nastavitev DNS. Če po omogočitvi DoH pride do težav pri pošiljanju zahtev strežniku DoH (na primer zaradi njegove blokade, omrežne povezave ali okvare), bo brskalnik samodejno vrnil sistemske nastavitve DNS.
Namen poskusa je končno preizkusiti izvajanje DoH in preučiti vpliv uporabe DoH na uspešnost. Treba je opozoriti, da je bila v resnici podpora DoH v Chromovo kodno zbirko že februarja, ampak za konfiguracijo in omogočanje DoH zagon Chroma s posebno zastavico in neočitnim naborom možnosti.
Spomnimo se, da je DoH lahko koristen za preprečevanje uhajanja informacij o zahtevanih imenih gostiteljev prek strežnikov DNS ponudnikov, boj proti napadom MITM in ponarejanje prometa DNS (na primer pri povezovanju z javnim Wi-Fi), preprečevanje blokiranja na DNS ravni (DoH ne more nadomestiti VPN na področju obhoda blokiranja, ki se izvaja na ravni DPI) ali za organizacijo dela, če ni mogoče neposredno dostopati do strežnikov DNS (na primer pri delu prek proxyja). Če so v običajni situaciji zahteve DNS neposredno poslane strežnikom DNS, definiranim v sistemski konfiguraciji, potem je v primeru DoH zahteva za določitev naslova IP gostitelja enkapsulirana v promet HTTPS in poslana strežniku HTTP, kjer razreševalec obdela zahteve prek spletnega API-ja. Obstoječi standard DNSSEC uporablja šifriranje samo za avtentikacijo odjemalca in strežnika, vendar ne ščiti prometa pred prestrezanjem in ne zagotavlja zaupnosti zahtev.
Vir: opennet.ru