กำลังติดตาม บริษัทกูเกิล เกี่ยวกับความตั้งใจที่จะดำเนินการทดสอบเพื่อทดสอบการใช้งาน “DNS ผ่าน HTTPS” (DoH, DNS ผ่าน HTTPS) ที่พัฒนาขึ้นสำหรับเบราว์เซอร์ Chrome Chrome 78 ซึ่งกำหนดไว้ในวันที่ 22 ตุลาคม จะมีหมวดหมู่ผู้ใช้บางหมวดหมู่ตามค่าเริ่มต้น เพื่อใช้ DoH เฉพาะผู้ใช้ที่การตั้งค่าระบบปัจจุบันระบุผู้ให้บริการ DNS บางรายที่ได้รับการยอมรับว่าเข้ากันได้กับ DoH เท่านั้นที่จะเข้าร่วมในการทดสอบเพื่อเปิดใช้งาน DoH
รายชื่อผู้ให้บริการ DNS สีขาวประกอบด้วย Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Cleanbrowsing (185.228.168.168. 185.228.169.168, 185.222.222.222) และ DNS.SB (185.184.222.222, XNUMX) หากการตั้งค่า DNS ของผู้ใช้ระบุหนึ่งในเซิร์ฟเวอร์ DNS ที่กล่าวถึงข้างต้น DoH ใน Chrome จะถูกเปิดใช้งานตามค่าเริ่มต้น สำหรับผู้ที่ใช้เซิร์ฟเวอร์ DNS ที่ผู้ให้บริการอินเทอร์เน็ตในพื้นที่ให้บริการ ทุกอย่างจะไม่เปลี่ยนแปลง และระบบรีโซลเวอร์จะยังคงใช้สำหรับการสืบค้น DNS ต่อไป
ความแตกต่างที่สำคัญจากการใช้งาน DoH ใน Firefox ซึ่งค่อยๆ เปิดใช้งาน DoH ตามค่าเริ่มต้น ณ สิ้นเดือนกันยายน ขาดความผูกพันกับบริการ DoH เดียว หากเป็น Firefox โดยค่าเริ่มต้น เซิร์ฟเวอร์ CloudFlare DNS จากนั้น Chrome จะอัปเดตวิธีการทำงานกับ DNS เป็นบริการที่เทียบเท่าเท่านั้น โดยไม่ต้องเปลี่ยนผู้ให้บริการ DNS ตัวอย่างเช่น หากผู้ใช้ระบุ DNS 8.8.8.8 ในการตั้งค่าระบบ Chrome จะทำ บริการ Google DoH (“https://dns.google.com/dns-query”) หาก DNS คือ 1.1.1.1 แสดงว่าบริการ Cloudflare DoH (“https://cloudflare-dns.com/dns-query”) และ
หากต้องการ ผู้ใช้สามารถเปิดหรือปิดใช้งาน DoH โดยใช้การตั้งค่า “chrome://flags/#dns-over-https” รองรับโหมดการทำงานสามโหมด: ปลอดภัย อัตโนมัติ และปิด ในโหมด "ปลอดภัย" โฮสต์จะถูกกำหนดตามค่าความปลอดภัยที่แคชไว้ก่อนหน้านี้เท่านั้น (ได้รับผ่านการเชื่อมต่อที่ปลอดภัย) และคำขอผ่าน DoH จะไม่มีการใช้ทางเลือกสำรองเป็น DNS ปกติ ในโหมด “อัตโนมัติ” หาก DoH และแคชที่ปลอดภัยไม่พร้อมใช้งาน จะสามารถดึงข้อมูลจากแคชที่ไม่ปลอดภัยและเข้าถึงได้ผ่าน DNS แบบเดิม ในโหมด "ปิด" แคชที่ใช้ร่วมกันจะถูกตรวจสอบก่อน และหากไม่มีข้อมูล คำขอจะถูกส่งผ่าน DNS ของระบบ โหมดถูกตั้งค่าผ่าน kDnsOverHttpsMode และเทมเพลตการแมปเซิร์ฟเวอร์ผ่าน kDnsOverHttpsTemplates
การทดลองเพื่อเปิดใช้งาน DoH จะดำเนินการบนทุกแพลตฟอร์มที่รองรับ Chrome ยกเว้น Linux และ iOS เนื่องจากลักษณะที่ไม่สำคัญของการตั้งค่าตัวแยกวิเคราะห์การแยกวิเคราะห์และการจำกัดการเข้าถึงการตั้งค่า DNS ของระบบ หลังจากเปิดใช้งาน DoH หากมีปัญหาในการส่งคำขอไปยังเซิร์ฟเวอร์ DoH (เช่น เนื่องจากการบล็อก การเชื่อมต่อเครือข่าย หรือความล้มเหลว) เบราว์เซอร์จะส่งคืนการตั้งค่า DNS ของระบบโดยอัตโนมัติ
วัตถุประสงค์ของการทดลองคือเพื่อทดสอบการใช้งาน DoH ในขั้นสุดท้าย และศึกษาผลกระทบของการใช้ DoH ต่อประสิทธิภาพ ควรสังเกตว่าในความเป็นจริงแล้วการสนับสนุน DoH คือ เข้าสู่ codebase ของ Chrome ในเดือนกุมภาพันธ์ แต่เพื่อกำหนดค่าและเปิดใช้งาน DoH เปิดตัว Chrome พร้อมแฟล็กพิเศษและชุดตัวเลือกที่ไม่ชัดเจน
ให้เราระลึกว่า DoH จะมีประโยชน์ในการป้องกันการรั่วไหลของข้อมูลเกี่ยวกับชื่อโฮสต์ที่ร้องขอผ่านเซิร์ฟเวอร์ DNS ของผู้ให้บริการ ต่อสู้กับการโจมตี MITM และการปลอมแปลงการรับส่งข้อมูล DNS (เช่น เมื่อเชื่อมต่อกับ Wi-Fi สาธารณะ) ตอบโต้การบล็อกที่ DNS ระดับ (DoH ไม่สามารถแทนที่ VPN ในพื้นที่ของการเลี่ยงการบล็อกที่ใช้งานในระดับ DPI) หรือสำหรับการจัดระเบียบงานหากไม่สามารถเข้าถึงเซิร์ฟเวอร์ DNS โดยตรง (เช่น เมื่อทำงานผ่านพรอกซี) หากในสถานการณ์ปกติ คำขอ DNS ถูกส่งโดยตรงไปยังเซิร์ฟเวอร์ DNS ที่กำหนดไว้ในการกำหนดค่าระบบ ในกรณีของ DoH คำขอเพื่อระบุที่อยู่ IP ของโฮสต์จะถูกห่อหุ้มในการรับส่งข้อมูล HTTPS และส่งไปยังเซิร์ฟเวอร์ HTTP ซึ่งตัวแก้ไขประมวลผล คำขอผ่าน Web API มาตรฐาน DNSSEC ที่มีอยู่ใช้การเข้ารหัสเพื่อตรวจสอบสิทธิ์ไคลเอ็นต์และเซิร์ฟเวอร์เท่านั้น แต่ไม่ได้ป้องกันการรับส่งข้อมูลจากการสกัดกั้น และไม่รับประกันการรักษาความลับของคำขอ
ที่มา: opennet.ru