Nurutan pausahaan Google ngeunaan niat ngalaksanakeun percobaan pikeun nguji palaksanaan "DNS over HTTPS" (DoH, DNS over HTTPS) anu dikembangkeun pikeun browser Chrome. Chrome 78, dijadwalkeun pikeun 22 Oktober, bakal ngagaduhan sababaraha kategori pangguna sacara standar ngagunakeun DoH. Ngan pamaké nu setelan sistem ayeuna nangtukeun panyadia DNS tangtu dipikawanoh salaku cocog sareng DoH bakal ilubiung dina percobaan pikeun ngaktipkeun DoH.
Daptar bodas panyadia DNS kalebet Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112, 185.228.168.168). 185.228.169.168, 185.222.222.222) jeung DNS.SB (185.184.222.222, XNUMX). Upami setélan DNS pangguna netepkeun salah sahiji server DNS anu disebatkeun di luhur, DoH dina Chrome bakal diaktipkeun sacara standar. Pikeun anu nganggo server DNS anu disayogikeun ku panyadia Internét lokalna, sadayana bakal tetep teu robih sareng panyusun sistem bakal terus dianggo pikeun patarosan DNS.
Beda penting tina palaksanaan DoH di Firefox, anu laun-laun ngaktifkeun DoH sacara standar geus di ahir September, nyaeta kurangna mengikat ka hiji layanan DoH. Upami dina Firefox sacara standar CloudFlare DNS server, teras Chrome ngan bakal ngamutahirkeun metoda gawé bareng DNS ka layanan sarimbag, tanpa ngarobah panyadia DNS. Contona, upami pamaké boga DNS 8.8.8.8 dieusian dina setélan sistem, lajeng Chrome bakal Ladenan Google DoH ("https://dns.google.com/dns-query"), upami DNS 1.1.1.1, maka layanan Cloudflare DoH ("https://cloudflare-dns.com/dns-query") Jeung
Upami hoyong, pangguna tiasa ngaktipkeun atanapi nganonaktipkeun DoH nganggo setelan "chrome: // flags / # DNS-over-https ". Tilu modeu operasi dirojong: aman, otomatis sareng pareum. Dina modeu "aman", host ditangtukeun ngan ukur dumasar kana nilai-nilai aman anu disimpen sateuacana (ditampi ku sambungan anu aman) sareng pamundut via DoH; fallback kana DNS biasa henteu dilarapkeun. Dina mode "otomatis", upami DoH sareng cache aman henteu sayogi, data tiasa dicandak tina cache anu teu aman sareng diaksés ngalangkungan DNS tradisional. Dina modeu "pareum", cache dibagikeun munggaran dipariksa sarta lamun euweuh data, pamundut dikirimkeun ngaliwatan sistem DNS. Modeu diatur via kDnsOverHttpsMode , jeung template pemetaan server ngaliwatan kDnsOverHttpsTemplates.
Eksperimen pikeun ngaktifkeun DoH bakal dilaksanakeun dina sadaya platform anu dirojong dina Chrome, kecuali Linux sareng ios kusabab sifat non-trivial tina parsing setélan solver sareng ngawatesan aksés kana setélan DNS sistem. Upami, saatos ngaktifkeun DoH, aya masalah pikeun ngirim pamenta ka server DoH (contona, kusabab meungpeuk, konektipitas jaringan atanapi gagalna), browser bakal otomatis mulangkeun setélan DNS sistem.
Tujuan tina ékspérimén nyaéta pikeun nguji ahir palaksanaan DoH sareng ngulik dampak ngagunakeun DoH kana kinerja. Ieu kudu dicatet yén dina kanyataanana rojongan DoH éta kana basis kode Chrome deui dina bulan Pebruari, tapi pikeun ngonpigurasikeun sareng ngaktipkeun DoH ngaluncurkeun Chrome nganggo bandéra khusus sareng pilihan anu teu jelas.
Hayu urang émut yén DoH tiasa mangpaat pikeun nyegah bocor inpormasi ngeunaan nami host anu dipénta ngalangkungan server DNS panyadia, merangan serangan MITM sareng spoofing lalu lintas DNS (contona, nalika nyambungkeun ka Wi-Fi umum), ngalawan blokir dina DNS. tingkat (DoH teu bisa ngaganti VPN di wewengkon bypassing meungpeuk dilaksanakeun di tingkat DPI) atawa pikeun pangatur pagawean lamun teu mungkin pikeun langsung ngakses server DNS (contona, nalika digawé ngaliwatan proxy). Upami dina kaayaan normal, pamundut DNS langsung dikirim ka server DNS anu ditetepkeun dina konfigurasi sistem, maka dina kasus DoH, pamenta pikeun nangtukeun alamat IP host dibungkus dina lalu lintas HTTPS sareng dikirim ka server HTTP, dimana solver prosés. requests via Web API. Standar DNSSEC anu aya nganggo enkripsi ngan ukur pikeun ngabuktoskeun kaaslianana klien sareng server, tapi henteu ngajagi lalu lintas tina interception sareng henteu ngajamin karusiahan pamundut.
sumber: opennet.ru