Следећи Гоогле компанија о намери да се спроведе експеримент за тестирање имплементације „ДНС овер ХТТПС“ (ДоХ, ДНС овер ХТТПС) која се развија за Цхроме претраживач. Цхроме 78, заказан за 22. октобар, подразумевано ће имати неке категорије корисника да користи ДоХ. Само корисници чије тренутне системске поставке наводе одређене ДНС провајдере који су признати као компатибилни са ДоХ ће учествовати у експерименту за омогућавање ДоХ.
Бела листа ДНС провајдера укључује Гоогле (8.8.8.8, 8.8.4.4), Цлоудфларе (1.1.1.1, 1.0.0.1), ОпенДНС (208.67.222.222, 208.67.220.220), Куад9 (9.9.9.9, 149.112.112.112), Чишћење 185.228.168.168. 185.228.169.168 , 185.222.222.222) и ДНС.СБ (185.184.222.222, XNUMX). Ако корисничка ДНС подешавања специфицирају један од горе наведених ДНС сервера, ДоХ у Цхроме-у ће подразумевано бити омогућен. За оне који користе ДНС сервере које обезбеђује њихов локални Интернет провајдер, све ће остати непромењено и системски разрешивач ће наставити да се користи за ДНС упите.
Важна разлика у односу на имплементацију ДоХ-а у Фирефок-у, који је постепено омогућио ДоХ подразумевано већ крајем септембра је недостатак везивања за једну службу ДоХ. Ако је подразумевано у Фирефок-у ЦлоудФларе ДНС сервер, онда ће Цхроме само ажурирати метод рада са ДНС-ом на еквивалентну услугу, без промене ДНС провајдера. На пример, ако корисник има ДНС 8.8.8.8 наведен у системским подешавањима, Цхроме ће то учинити Гоогле ДоХ услуга („хттпс://днс.гоогле.цом/днс-куери“), ако је ДНС 1.1.1.1, онда Цлоудфларе ДоХ услуга („хттпс://цлоудфларе-днс.цом/днс-куери“) и
По жељи, корисник може да омогући или онемогући ДоХ помоћу подешавања „цхроме://флагс/#днс-овер-хттпс“. Подржана су три режима рада: сигуран, аутоматски и искључен. У „безбедном“ режиму, хостови се одређују само на основу претходно кешираних безбедних вредности (примљених преко безбедне везе) и захтева преко ДоХ-а; повратак на обичан ДНС се не примењује. У „аутоматском“ режиму, ако ДоХ и безбедна кеш меморија нису доступни, подаци се могу преузети из несигурног кеша и приступити им преко традиционалног ДНС-а. У режиму „искључено“, прво се проверава дељени кеш и ако нема података, захтев се шаље преко системског ДНС-а. Режим се подешава преко кДнсОверХттпсМоде и шаблон за мапирање сервера преко кДнсОверХттпсТемплатес.
Експеримент за омогућавање ДоХ-а биће спроведен на свим платформама подржаним у Цхроме-у, са изузетком Линук-а и иОС-а због не-тривијалне природе рашчлањивања подешавања резолвера и ограничавања приступа системским ДНС поставкама. Ако након омогућавања ДоХ-а дође до проблема са слањем захтева на ДоХ сервер (на пример, због његовог блокирања, мрежне везе или квара), претраживач ће аутоматски вратити системска ДНС подешавања.
Сврха експеримента је коначно тестирање имплементације ДоХ-а и проучавање утицаја коришћења ДоХ-а на перформансе. Треба напоменути да је у ствари подршка ДоХ била у Цхроме базу кодова још у фебруару, али да конфигуришете и омогућите ДоХ покретање Цхроме-а са посебном заставицом и неочигледним скупом опција.
Подсетимо се да ДоХ може бити користан за спречавање цурења информација о траженим именима хостова преко ДНС сервера провајдера, сузбијање МИТМ напада и лажирања ДНС саобраћаја (на пример, при повезивању на јавни Ви-Фи), спречавање блокирања на ДНС-у нивоу (ДоХ не може да замени ВПН у области заобилажења блокирања имплементираног на ДПИ нивоу) или за организовање посла ако је немогуће директно приступити ДНС серверима (на пример, када се ради преко проксија). Ако се у нормалној ситуацији ДНС захтеви директно шаљу на ДНС сервере дефинисане у конфигурацији система, онда се у случају ДоХ-а захтев за одређивање ИП адресе хоста инкапсулира у ХТТПС саобраћај и шаље на ХТТП сервер, где разрешивач обрађује захтева преко веб АПИ-ја. Постојећи ДНССЕЦ стандард користи шифровање само за аутентификацију клијента и сервера, али не штити саобраћај од пресретања и не гарантује поверљивост захтева.
Извор: опеннет.ру