Tiếp theo công ty Google về ý định tiến hành thử nghiệm để kiểm tra việc triển khai “DNS qua HTTPS” (DoH, DNS qua HTTPS) đang được phát triển cho trình duyệt Chrome. Chrome 78 dự kiến ra mắt ngày 22/XNUMX sẽ mặc định có một số danh mục người dùng sử dụng DoH. Chỉ những người dùng có cài đặt hệ thống hiện tại chỉ định một số nhà cung cấp DNS nhất định được công nhận là tương thích với DoH mới tham gia thử nghiệm để kích hoạt DoH.
Danh sách trắng các nhà cung cấp DNS bao gồm Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Duyệt web sạch (185.228.168.168 185.228.169.168 185.222.222.222 , 185.184.222.222) và DNS.SB (XNUMX, XNUMX). Nếu cài đặt DNS của người dùng chỉ định một trong các máy chủ DNS nêu trên thì DoH trong Chrome sẽ được kích hoạt theo mặc định. Đối với những người sử dụng máy chủ DNS do nhà cung cấp Internet địa phương của họ cung cấp, mọi thứ sẽ không thay đổi và trình phân giải hệ thống sẽ tiếp tục được sử dụng cho các truy vấn DNS.
Một điểm khác biệt quan trọng so với việc triển khai DoH trong Firefox, dần dần kích hoạt DoH theo mặc định vào cuối tháng 9, thiếu sự ràng buộc với một dịch vụ DoH. Nếu trong Firefox theo mặc định Máy chủ DNS CloudFlare thì Chrome sẽ chỉ cập nhật phương thức làm việc với DNS lên dịch vụ tương đương mà không thay đổi nhà cung cấp DNS. Ví dụ: nếu người dùng có DNS 8.8.8.8 được chỉ định trong cài đặt hệ thống thì Chrome sẽ Dịch vụ Google DoH (“https://dns.google.com/dns-query”), nếu DNS là 1.1.1.1 thì dịch vụ Cloudflare DoH (“https://cloudflare-dns.com/dns-query”) Và
Nếu muốn, người dùng có thể bật hoặc tắt DoH bằng cách sử dụng cài đặt “chrome://flags/#dns-over-https”. Ba chế độ hoạt động được hỗ trợ: an toàn, tự động và tắt. Ở chế độ “bảo mật”, máy chủ chỉ được xác định dựa trên các giá trị bảo mật được lưu trong bộ nhớ đệm trước đó (được nhận qua kết nối an toàn) và các yêu cầu qua DoH dự phòng sang DNS thông thường không được áp dụng. Ở chế độ “tự động”, nếu DoH và bộ đệm an toàn không khả dụng, dữ liệu có thể được truy xuất từ bộ đệm không an toàn và được truy cập thông qua DNS truyền thống. Ở chế độ “tắt”, bộ đệm chia sẻ trước tiên sẽ được kiểm tra và nếu không có dữ liệu, yêu cầu sẽ được gửi qua DNS hệ thống. Chế độ được thiết lập thông qua kDnsOverHttpsMode và mẫu ánh xạ máy chủ thông qua kDnsOverHttpsTemplates.
Thử nghiệm kích hoạt DoH sẽ được thực hiện trên tất cả các nền tảng được hỗ trợ trong Chrome, ngoại trừ Linux và iOS do tính chất không hề đơn giản của cài đặt trình phân giải phân tích cú pháp và hạn chế quyền truy cập vào cài đặt DNS của hệ thống. Nếu sau khi kích hoạt DoH, gặp sự cố khi gửi yêu cầu đến máy chủ DoH (ví dụ: do bị chặn, kết nối mạng hoặc bị lỗi), trình duyệt sẽ tự động trả về cài đặt DNS của hệ thống.
Mục đích của thử nghiệm là kiểm tra lần cuối việc triển khai DoH và nghiên cứu tác động của việc sử dụng DoH đến hiệu suất. Cần lưu ý rằng trên thực tế sự hỗ trợ của DoH là vào cơ sở mã Chrome vào tháng 2, nhưng để định cấu hình và bật DoH khởi chạy Chrome với một lá cờ đặc biệt và một bộ tùy chọn không rõ ràng.
Chúng ta hãy nhớ lại rằng DoH có thể hữu ích trong việc ngăn chặn rò rỉ thông tin về tên máy chủ được yêu cầu thông qua máy chủ DNS của nhà cung cấp, chống lại các cuộc tấn công MITM và giả mạo lưu lượng DNS (ví dụ: khi kết nối với Wi-Fi công cộng), chống chặn tại DNS cấp độ (DoH không thể thay thế VPN trong lĩnh vực vượt qua chặn được triển khai ở cấp độ DPI) hoặc để tổ chức công việc nếu không thể truy cập trực tiếp vào máy chủ DNS (ví dụ: khi làm việc thông qua proxy). Nếu trong tình huống bình thường, các yêu cầu DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống thì trong trường hợp DoH, yêu cầu xác định địa chỉ IP của máy chủ được gói gọn trong lưu lượng HTTPS và gửi đến máy chủ HTTP, nơi trình phân giải xử lý yêu cầu thông qua API Web. Tiêu chuẩn DNSSEC hiện tại chỉ sử dụng mã hóa để xác thực máy khách và máy chủ nhưng không bảo vệ lưu lượng truy cập khỏi bị chặn và không đảm bảo tính bảo mật của các yêu cầu.
Nguồn: opennet.ru