Sumusunod kumpanya ng Google tungkol sa intensyon na magsagawa ng eksperimento upang subukan ang pagpapatupad ng “DNS over HTTPS” (DoH, DNS over HTTPS) na binuo para sa Chrome browser. Ang Chrome 78, na naka-iskedyul para sa ika-22 ng Oktubre, ay magkakaroon ng ilang kategorya ng user bilang default gamitin ang DoH. Tanging ang mga user na ang kasalukuyang mga setting ng system ay tumutukoy sa ilang partikular na DNS provider na kinikilalang compatible sa DoH ang makikibahagi sa eksperimento upang paganahin ang DoH.
Kasama sa puting listahan ng mga DNS provider Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112. 185.228.168.168 , 185.228.169.168) at DNS.SB (185.222.222.222, 185.184.222.222). Kung tinukoy ng mga setting ng DNS ng user ang isa sa mga nabanggit na DNS server, maa-activate ang DoH sa Chrome bilang default. Para sa mga gumagamit ng mga DNS server na ibinigay ng kanilang lokal na Internet provider, ang lahat ay mananatiling hindi nagbabago at ang system resolver ay patuloy na gagamitin para sa mga DNS query.
Isang mahalagang pagkakaiba mula sa pagpapatupad ng DoH sa Firefox, na unti-unting pinagana ang DoH bilang default na sa katapusan ng Setyembre, ay ang kawalan ng binding sa isang serbisyo ng DoH. Kung sa Firefox bilang default CloudFlare DNS server, pagkatapos ay ia-update lamang ng Chrome ang paraan ng pagtatrabaho sa DNS sa isang katumbas na serbisyo, nang hindi binabago ang DNS provider. Halimbawa, kung ang user ay may DNS 8.8.8.8 na tinukoy sa mga setting ng system, gagawin ng Chrome Serbisyo ng Google DoH (“https://dns.google.com/dns-query”), kung ang DNS ay 1.1.1.1, kung gayon ang serbisyo ng Cloudflare DoH (“https://cloudflare-dns.com/dns-query”) At
Kung ninanais, maaaring i-enable o i-disable ng user ang DoH gamit ang setting na “chrome://flags/#dns-over-https”. Tatlong operating mode ang sinusuportahan: secure, awtomatiko at naka-off. Sa "secure" mode, ang mga host ay tinutukoy lamang batay sa dati nang naka-cache na mga secure na halaga (natanggap sa pamamagitan ng isang secure na koneksyon) at ang mga kahilingan sa pamamagitan ng DoH ay hindi inilalapat. Sa "awtomatikong" mode, kung ang DoH at ang secure na cache ay hindi magagamit, ang data ay maaaring makuha mula sa hindi secure na cache at ma-access sa pamamagitan ng tradisyonal na DNS. Sa mode na "off", ang nakabahaging cache ay unang sinusuri at kung walang data, ang kahilingan ay ipinadala sa pamamagitan ng DNS ng system. Ang mode ay itinakda sa pamamagitan ng kDnsOverHttpsMode , at ang template ng pagmamapa ng server sa pamamagitan ng kDnsOverHttpsTemplates.
Ang eksperimento upang paganahin ang DoH ay isasagawa sa lahat ng platform na sinusuportahan sa Chrome, maliban sa Linux at iOS dahil sa hindi mahalaga na katangian ng pag-parse ng mga setting ng solver at paghihigpit sa pag-access sa mga setting ng DNS ng system. Kung, pagkatapos paganahin ang DoH, may mga problema sa pagpapadala ng mga kahilingan sa server ng DoH (halimbawa, dahil sa pagharang nito, pagkakakonekta sa network o pagkabigo), awtomatikong ibabalik ng browser ang mga setting ng DNS ng system.
Ang layunin ng eksperimento ay ang huling pagsubok sa pagpapatupad ng DoH at pag-aralan ang epekto ng paggamit ng DoH sa pagganap. Dapat pansinin na sa katunayan ay ang suporta ng DoH sa Chrome codebase noong Pebrero, ngunit upang i-configure at paganahin ang DoH paglulunsad ng Chrome na may espesyal na flag at hindi halatang hanay ng mga opsyon.
Alalahanin natin na maaaring maging kapaki-pakinabang ang DoH sa pagpigil sa mga paglabas ng impormasyon tungkol sa mga hinihiling na pangalan ng host sa pamamagitan ng mga DNS server ng mga provider, paglaban sa mga pag-atake ng MITM at panggagaya ng trapiko ng DNS (halimbawa, kapag kumokonekta sa pampublikong Wi-Fi), kontra sa pagharang sa DNS level (Hindi maaaring palitan ng DoH ang isang VPN sa lugar ng bypassing blocking na ipinatupad sa antas ng DPI) o para sa pag-aayos ng trabaho kung imposibleng direktang ma-access ang mga DNS server (halimbawa, kapag nagtatrabaho sa pamamagitan ng isang proxy). Kung sa isang normal na sitwasyon, ang mga kahilingan ng DNS ay direktang ipinadala sa mga DNS server na tinukoy sa configuration ng system, kung gayon sa kaso ng DoH, ang kahilingan upang matukoy ang IP address ng host ay naka-encapsulate sa trapiko ng HTTPS at ipinadala sa HTTP server, kung saan nagpoproseso ang solver. mga kahilingan sa pamamagitan ng Web API. Ang umiiral na pamantayan ng DNSSEC ay gumagamit lamang ng pag-encrypt upang patotohanan ang kliyente at server, ngunit hindi pinoprotektahan ang trapiko mula sa pagharang at hindi ginagarantiyahan ang pagiging kumpidensyal ng mga kahilingan.
Pinagmulan: opennet.ru