Слідом за компанія Google про намір провести експеримент для перевірки розвивається для браузера Chrome реалізації «DNS поверх HTTPS» (DoH, DNS over HTTPS). У випуску Chrome 78, запланованому на 22 жовтня, деякі категорії користувачів будуть за замовчуванням використання DoH. В експерименті з включення DoH візьмуть участь лише користувачі, у поточних системних настойках яких вказані певні провайдери DNS, визнані сумісними з DoH.
У білий список DNS-провайдерів включено Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222) 208.67.220.220, 9) та DNS.SB (9.9.9.9, 149.112.112.112). Якщо в настойках DNS у користувача буде вказано один із вищезазначених DNS-серверів, DoH у Chrome буде активовано за замовчуванням. Для тих, хто використовує надані локальним інтернет-провайдером DNS-сервери, все залишиться без змін і для запитів DNS продовжить використовуватися системний резолвер.
Важливою відмінністю від впровадження DoH Firefox, в якому поетапне включення за замовчуванням DoH вже наприкінці вересня є відсутність прив'язки до одного сервісу DoH. Якщо у Firefox за замовчуванням DNS-сервер CloudFlare, то в Chrome буде зроблено лише оновлення методу роботи з DNS на еквівалентний сервіс, без зміни DNS-провайдера. Наприклад, якщо у користувача в системних налаштуваннях вказано DNS 8.8.8.8, то в Chrome буде DoH-сервіс Google ("https://dns.google.com/dns-query"), якщо DNS - 1.1.1.1, то DoH сервіс Cloudflare ("https://cloudflare-dns.com/dns-query") і
За бажанням користувач зможе увімкнути або вимкнути DoH за допомогою налаштування «chrome://flags/#dns-over-https». Підтримується три режими роботи "secure", "automatic" та "off". У режимі "secure" хости визначаються тільки на основі раніше прокешованих безпечних значень (отриманих через захищене з'єднання) та запитів через DoH, відкат на звичайний DNS не застосовується. У режимі «automatic» якщо DoH та захищений кеш недоступні, допускається отримання даних з небезпечного кешу та звернення через традиційний DNS. У режимі off спочатку перевіряється загальний кеш і якщо даних немає, запит надсилається через системний DNS. Режим задається через kDnsOverHttpsMode , а шаблон зіставлення серверів через kDnsOverHttpsTemplates.
Експеримент із включення DoH буде проведений на всіх підтримуваних у Chrome платформах, за винятком Linux та iOS через нетривіальність аналізу налаштувань резолвера та обмеження доступу до системних налаштувань DNS. Якщо після включення DoH виникнуть збої з надсиланням запитів на сервер DoH (наприклад, через його блокування, порушення мережевої зв'язності або виходу з ладу), браузер автоматично поверне системні налаштування DNS.
Метою проведення експерименту є фінальна перевірка реалізації DoH та вивчення впливу застосування DoH на продуктивність. Слід зазначити, що фактично підтримка DoH була в кодову базу Chrome ще в лютому, але для налаштування та включення DoH запуск Chrome зі спеціальним прапором та неочевидним набором опцій.
Нагадаємо, що DoH може виявитися корисним для виключення витоків відомостей про запитовані імена хостів через DNS-сервери провайдерів, боротьби з MITM-атаками та заміною DNS-трафіку (наприклад, при підключенні до публічних Wi-Fi), протистояння блокуванням на рівні DNS (DoH не може замінити VPN в області обходу блокувань, реалізованих на рівні DPI або для організації роботи у разі неможливості прямого звернення до DNS-серверів (наприклад, при роботі через проксі). Якщо у звичайній ситуації DNS-запити безпосередньо відправляються на визначені в конфігурації системи DNS-сервери, то у разі DoH запит на визначення IP-адреси хоста інкапсулюється в трафік HTTPS і відправляється на сервер HTTP, на якому резолвер обробляє запити через Web API. Існуючий стандарт DNSSEC використовує шифрування лише для автентифікації клієнта та сервера, але не захищає трафік від перехоплення та не гарантує конфіденційність запитів.
Джерело: opennet.ru