Kufuatia Kampuni ya Google kuhusu nia ya kufanya jaribio la kujaribu utekelezaji wa "DNS juu ya HTTPS" (DoH, DNS juu ya HTTPS) inayotengenezwa kwa kivinjari cha Chrome. Chrome 78, iliyoratibiwa kufanyika tarehe 22 Oktoba, itakuwa na baadhi ya kategoria za watumiaji kwa chaguomsingi kutumia DoH. Ni watumiaji ambao mipangilio yao ya sasa ya mfumo inabainisha watoa huduma fulani wa DNS wanaotambuliwa kuwa tangamanifu na DoH watashiriki katika jaribio la kuwezesha DoH.
Orodha nyeupe ya watoa huduma wa DNS inajumuisha Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112) Safi. 185.228.168.168 , 185.228.169.168) na DNS.SB (185.222.222.222, 185.184.222.222). Ikiwa mipangilio ya DNS ya mtumiaji itabainisha mojawapo ya seva za DNS zilizotajwa hapo juu, DoH katika Chrome itawashwa kwa chaguomsingi. Kwa wale wanaotumia seva za DNS zinazotolewa na mtoa huduma wao wa karibu wa Intaneti, kila kitu hakitabadilika na kisuluhishi cha mfumo kitaendelea kutumika kwa hoja za DNS.
Tofauti muhimu kutoka kwa utekelezaji wa DoH katika Firefox, ambayo hatua kwa hatua iliwezesha DoH kwa chaguo-msingi tayari mwishoni mwa Septemba, ni ukosefu wa kushurutishwa kwa huduma moja ya DoH. Ikiwa katika Firefox kwa chaguo-msingi Seva ya CloudFlare DNS, basi Chrome itasasisha tu mbinu ya kufanya kazi na DNS hadi huduma sawa, bila kubadilisha mtoa huduma wa DNS. Kwa mfano, ikiwa mtumiaji ana DNS 8.8.8.8 maalum katika mipangilio ya mfumo, basi Chrome itafanya Huduma ya Google DoH (“https://dns.google.com/dns-query”), ikiwa DNS ni 1.1.1.1, basi huduma ya Cloudflare DoH (“https://cloudflare-dns.com/dns-query”) Na
Ikihitajika, mtumiaji anaweza kuwezesha au kuzima DoH kwa kutumia mpangilio wa "chrome://flags/#dns-over-https". Njia tatu za uendeshaji zinaungwa mkono: salama, otomatiki na kuzima. Katika hali ya "salama", wapangishaji huamuliwa tu kulingana na thamani zilizohifadhiwa hapo awali (zilizopokewa kupitia muunganisho salama) na maombi kupitia DoH kurudi nyuma kwa DNS ya kawaida haitumiki. Katika hali ya "otomatiki", ikiwa DoH na akiba salama hazipatikani, data inaweza kurejeshwa kutoka kwa akiba isiyo salama na kufikiwa kupitia DNS ya kawaida. Katika hali ya "kuzima", cache iliyoshirikiwa inaangaliwa kwanza na ikiwa hakuna data, ombi linatumwa kupitia mfumo wa DNS. Hali imewekwa kupitia kDnsOverHttpsMode , na kiolezo cha ramani ya seva kupitia kDnsOverHttpsTemplates.
Jaribio la uwezeshaji wa DoH litafanywa kwenye mifumo yote inayoungwa mkono na Chrome, isipokuwa Linux na iOS kutokana na ugumu wa kuchanganua mipangilio ya kisuluhishi na ufikiaji mdogo wa mipangilio ya DNS ya mfumo. Ikiwa, baada ya kuwezesha DoH, kuna hitilafu zozote zinazotuma maombi kwa seva ya DoH (kwa mfano, kutokana na kuzuiwa, muunganisho wa mtandao kukatizwa, au kuwa chini), kivinjari kitarejea kiotomatiki kwenye mipangilio ya DNS ya mfumo.
Madhumuni ya jaribio ni kujaribu mwisho utekelezaji wa DoH na kusoma athari za kutumia DoH kwenye utendakazi. Ikumbukwe kwamba kwa kweli msaada wa DoH ulikuwa kwenye msingi wa msimbo wa Chrome mnamo Februari, lakini kusanidi na kuwezesha DoH kuzindua Chrome na bendera maalum na seti zisizo dhahiri za chaguo.
Hebu tukumbuke kwamba DoH inaweza kuwa na manufaa kwa kuzuia uvujaji wa taarifa kuhusu majina ya waandaji yaliyoombwa kupitia seva za DNS za watoa huduma, kupambana na mashambulizi ya MITM na uharibifu wa trafiki wa DNS (kwa mfano, wakati wa kuunganisha kwenye Wi-Fi ya umma), kukabiliana na kuzuia kwenye DNS. kiwango (DoH haiwezi kuchukua nafasi ya VPN katika eneo la kuzuia kuzuia kutekelezwa kwa kiwango cha DPI) au kwa kupanga kazi ikiwa haiwezekani kupata seva za DNS moja kwa moja (kwa mfano, wakati wa kufanya kazi kupitia proksi). Ikiwa katika hali ya kawaida maombi ya DNS yanatumwa moja kwa moja kwa seva za DNS zilizofafanuliwa katika usanidi wa mfumo, basi katika kesi ya DoH, ombi la kuamua anwani ya IP ya mwenyeji limeingizwa kwenye trafiki ya HTTPS na kutumwa kwa seva ya HTTP, ambapo msuluhishi huchakata. maombi kupitia API ya Wavuti. Kiwango kilichopo cha DNSSEC kinatumia usimbaji fiche ili tu kuthibitisha mteja na seva, lakini hailindi trafiki dhidi ya kuingiliwa na haihakikishi usiri wa maombi.
Chanzo: opennet.ru
