Në vijim Kompania Google në lidhje me synimin për të kryer një eksperiment për të testuar zbatimin e "DNS mbi HTTPS" (DoH, DNS mbi HTTPS) që po zhvillohet për shfletuesin Chrome. Chrome 78, i planifikuar për 22 tetor, do të ketë disa kategori përdoruesish si parazgjedhje për të përdorur DoH. Vetëm përdoruesit, cilësimet aktuale të sistemit të të cilëve specifikojnë disa ofrues DNS të njohur si të pajtueshëm me DoH, do të marrin pjesë në eksperiment për të aktivizuar DoH.
Lista e bardhë e ofruesve të DNS përfshin Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112, 185.228.168.168, 185.228.169.168, 185.222.222.222, 185.184.222.222, XNUMX). XNUMX XNUMX , XNUMX) dhe DNS.SB (XNUMX, XNUMX). Nëse cilësimet DNS të përdoruesit përcaktojnë një nga serverët DNS të lartpërmendur, DoH në Chrome do të aktivizohet si parazgjedhje. Për ata që përdorin serverë DNS të ofruar nga ofruesi i tyre lokal i internetit, gjithçka do të mbetet e pandryshuar dhe zgjidhësi i sistemit do të vazhdojë të përdoret për pyetjet DNS.
Një ndryshim i rëndësishëm nga zbatimi i DoH në Firefox, i cili gradualisht aktivizoi DoH si parazgjedhje tashmë në fund të shtatorit, është mungesa e lidhjes me një shërbim të DH. Nëse në Firefox si parazgjedhje Serveri CloudFlare DNS, atëherë Chrome do të përditësojë vetëm metodën e punës me DNS në një shërbim ekuivalent, pa ndryshuar ofruesin DNS. Për shembull, nëse përdoruesi ka DNS 8.8.8.8 të specifikuar në cilësimet e sistemit, atëherë Chrome do Shërbimi Google DoH (“https://dns.google.com/dns-query”), nëse DNS është 1.1.1.1, atëherë shërbimi Cloudflare DoH (“https://cloudflare-dns.com/dns-query”) dhe
Nëse dëshironi, përdoruesi mund të aktivizojë ose çaktivizojë DoH duke përdorur cilësimin "chrome://flags/#dns-over-https". Mbështeten tre mënyra funksionimi: i sigurt, automatik dhe i fikur. Në modalitetin "të sigurt", hostet përcaktohen vetëm në bazë të vlerave të sigurta të ruajtura më parë (të marra përmes një lidhjeje të sigurt) dhe kërkesat përmes DoH në DNS të rregullta nuk zbatohen. Në modalitetin "automatik", nëse DoH dhe cache e sigurt nuk janë të disponueshme, të dhënat mund të merren nga cache e pasigurt dhe të aksesohen përmes DNS tradicionale. Në modalitetin "off", së pari kontrollohet cache e përbashkët dhe nëse nuk ka të dhëna, kërkesa dërgohet përmes sistemit DNS. Modaliteti është vendosur nëpërmjet kDnsOverHttpsMode , dhe shabllonin e hartës së serverit përmes kDnsOverHttpsTemplates.
Eksperimenti për të aktivizuar DoH do të kryhet në të gjitha platformat e mbështetura në Chrome, me përjashtim të Linux dhe iOS për shkak të natyrës jo të parëndësishme të analizimit të cilësimeve të zgjidhësve dhe kufizimit të aksesit në cilësimet e sistemit DNS. Nëse, pas aktivizimit të DoH, ka probleme me dërgimin e kërkesave te serveri DoH (për shembull, për shkak të bllokimit të tij, lidhjes së rrjetit ose dështimit), shfletuesi do të kthejë automatikisht cilësimet e sistemit DNS.
Qëllimi i eksperimentit është testimi përfundimtar i zbatimit të DoH dhe studimi i ndikimit të përdorimit të DoH në performancë. Duhet të theksohet se në fakt mbështetja e DH ishte në bazën e kodeve të Chrome në shkurt, por për të konfiguruar dhe aktivizuar DoH nisja e Chrome me një flamur të veçantë dhe një grup opsionesh jo të dukshme.
Le të kujtojmë se DoH mund të jetë e dobishme për parandalimin e rrjedhjeve të informacionit në lidhje me emrat e kërkuar të pritësve përmes serverëve DNS të ofruesve, për të luftuar sulmet MITM dhe mashtrimin e trafikut DNS (për shembull, kur lidheni me Wi-Fi publik), kundër bllokimit në DNS niveli (DoH nuk mund të zëvendësojë një VPN në fushën e anashkalimit të bllokimit të zbatuar në nivelin DPI) ose për organizimin e punës nëse është e pamundur të aksesoni drejtpërdrejt serverët DNS (për shembull, kur punoni përmes një përfaqësuesi). Nëse në një situatë normale kërkesat DNS dërgohen drejtpërdrejt te serverët DNS të përcaktuar në konfigurimin e sistemit, atëherë në rastin e DoH, kërkesa për përcaktimin e adresës IP të hostit inkapsulohet në trafikun HTTPS dhe dërgohet në serverin HTTP, ku zgjidhësi përpunon kërkesat nëpërmjet API-së së Uebit. Standardi ekzistues DNSSEC përdor enkriptimin vetëm për të vërtetuar klientin dhe serverin, por nuk mbron trafikun nga përgjimi dhe nuk garanton konfidencialitetin e kërkesave.
Burimi: opennet.ru