Takip etme Google şirketi Chrome tarayıcısı için geliştirilmekte olan “HTTPS üzerinden DNS” (DoH, HTTPS üzerinden DNS) uygulamasını test etmek için bir deney yapma niyeti hakkında. 78 Ekim'de yayınlanması planlanan Chrome 22, varsayılan olarak bazı kullanıcı kategorilerine sahip olacak DoH'yi kullanmak için. Yalnızca mevcut sistem ayarlarında DoH ile uyumlu olarak tanınan belirli DNS sağlayıcılarının belirtildiği kullanıcılar, DoH'u etkinleştirme denemesine katılacaktır.
DNS sağlayıcılarının beyaz listesi şunları içerir: Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Temiz Tarama (185.228.168.168) 185.228.169.168 , 185.222.222.222) ve DNS.SB (185.184.222.222, XNUMX). Kullanıcının DNS ayarları yukarıda belirtilen DNS sunucularından birini belirtiyorsa Chrome'da DoH varsayılan olarak etkinleştirilecektir. Yerel İnternet sağlayıcıları tarafından sağlanan DNS sunucularını kullananlar için her şey değişmeden kalacak ve DNS sorguları için sistem çözümleyici kullanılmaya devam edecek.
DoH'un varsayılan olarak kademeli olarak etkinleştirildiği Firefox'taki DoH uygulamasından önemli bir fark Zaten Eylül ayının sonunda, bir DoH hizmetine bağlanma eksikliği var. Varsayılan olarak Firefox'taysa CloudFlare DNS sunucusu, Chrome, DNS sağlayıcısını değiştirmeden yalnızca DNS ile çalışma yöntemini eşdeğer bir hizmete güncelleyecektir. Örneğin, kullanıcının sistem ayarlarında DNS 8.8.8.8 belirtilmişse Chrome, Google DoH hizmeti ("https://dns.google.com/dns-query"), DNS 1.1.1.1 ise Cloudflare DoH hizmeti ("https://cloudflare-dns.com/dns-query") Ve
İstenirse kullanıcı “chrome://flags/#dns-over-https” ayarını kullanarak DoH'yi etkinleştirebilir veya devre dışı bırakabilir. Üç çalışma modu desteklenir: güvenli, otomatik ve kapalı. "Güvenli" modda, ana bilgisayarlar yalnızca önceden önbelleğe alınmış güvenli değerlere (güvenli bir bağlantı aracılığıyla alınan) ve DoH aracılığıyla yapılan isteklere göre belirlenir; normal DNS'ye geri dönüş uygulanmaz. “Otomatik” modda, DoH ve güvenli önbellek mevcut değilse, veriler güvenli olmayan önbellekten alınabilir ve geleneksel DNS aracılığıyla verilere erişilebilir. “Kapalı” modda öncelikle paylaşılan önbellek kontrol edilir ve veri yoksa istek sistem DNS'si üzerinden gönderilir. Mod aracılığıyla ayarlanır kDnsOverHttpsMode ve kDnsOverHttpsTemplates aracılığıyla sunucu eşleme şablonu.
DoH'yi etkinleştirme denemesi, çözümleyici ayarlarının ayrıştırılmasının ve sistem DNS ayarlarına erişimin kısıtlanmasının önemsiz doğası nedeniyle Linux ve iOS hariç, Chrome'da desteklenen tüm platformlarda gerçekleştirilecektir. DoH etkinleştirildikten sonra DoH sunucusuna istek göndermede sorunlar yaşanırsa (örneğin engelleme, ağ bağlantısı veya arıza nedeniyle), tarayıcı otomatik olarak sistem DNS ayarlarını geri döndürecektir.
Deneyin amacı DoH uygulamasının son testini yapmak ve DoH kullanımının performans üzerindeki etkisini incelemektir. Şunu belirtmek gerekir ki aslında DoH desteği Şubat ayında Chrome kod tabanına eklendi, ancak DoH'yi yapılandırmak ve etkinleştirmek için Chrome'u özel bir bayrakla ve açık olmayan bir dizi seçenekle başlatmak.
DoH'un, talep edilen ana bilgisayar adları hakkında sağlayıcıların DNS sunucuları üzerinden bilgi sızıntısını önlemek, MITM saldırıları ve DNS trafiği sahtekarlığıyla mücadele etmek (örneğin, genel Wi-Fi'ye bağlanırken), DNS'deki engellemeyi önlemek için yararlı olabileceğini hatırlayalım. seviye (DoH, DPI düzeyinde uygulanan engellemeyi atlama alanında bir VPN'in yerini alamaz) veya DNS sunucularına doğrudan erişim mümkün değilse (örneğin, bir proxy aracılığıyla çalışırken) işi organize etmek için. Normal bir durumda DNS istekleri doğrudan sistem yapılandırmasında tanımlanan DNS sunucularına gönderilirse, DoH durumunda, ana bilgisayarın IP adresini belirleme isteği HTTPS trafiğinde kapsüllenir ve çözümleyicinin işlediği HTTP sunucusuna gönderilir. Web API'sı aracılığıyla istekler. Mevcut DNSSEC standardı şifrelemeyi yalnızca istemci ve sunucunun kimliğini doğrulamak için kullanır, ancak trafiği müdahaleye karşı korumaz ve isteklerin gizliliğini garanti etmez.
Kaynak: opennet.ru