下列的 Mozilla的 谷歌公司 报道 关于进行一项实验来测试为 Chrome 浏览器开发的“DNS over HTTPS”(DoH,DNS over HTTPS)实施的意图。 Chrome 78 定于 22 月 XNUMX 日发布,默认情况下会有一些用户类别 翻译的 使用卫生部。 只有当前系统设置指定了某些被认为与 DoH 兼容的 DNS 提供商的用户才会参与启用 DoH 的实验。
DNS 提供商白名单包括 服务 谷歌(8.8.8.8、8.8.4.4)、Cloudflare(1.1.1.1、1.0.0.1)、OpenDNS(208.67.222.222、208.67.220.220)、Quad9(9.9.9.9、149.112.112.112)、Cleanbrowsing(185.228.168.168) 。 185.228.169.168、185.222.222.222)和 DNS.SB(185.184.222.222、XNUMX)。 如果用户的 DNS 设置指定了上述 DNS 服务器之一,则 Chrome 中的 DoH 将默认启用。 对于那些使用当地互联网提供商提供的 DNS 服务器的人来说,一切都将保持不变,系统解析器将继续用于 DNS 查询。
与 Firefox 中 DoH 实现的一个重要区别,Firefox 逐渐默认启用 DoH 将要开始 早在 XNUMX 月底,就缺乏与卫生部一项服务的绑定。 如果默认在 Firefox 中 使用 CloudFlare DNS 服务器,则 Chrome 只会将使用 DNS 的方法更新为等效服务,而不会更改 DNS 提供商。 例如,如果用户在系统设置中指定了 DNS 8.8.8.8,则 Chrome 将 活性 Google DoH 服务(“https://dns.google.com/dns-query”),如果 DNS 为 1.1.1.1,则 Cloudflare DoH 服务(“https://cloudflare-dns.com/dns-query”)并且 等等
让我们回想一下,DoH 可用于防止通过提供商的 DNS 服务器泄漏有关所请求主机名的信息、对抗 MITM 攻击和 DNS 流量欺骗(例如,在连接到公共 Wi-Fi 时)、对抗 DNS 阻塞如果无法直接访问 DNS 服务器(例如,通过代理工作时),DoH 无法在绕过 DPI 级别实施的阻止方面取代 VPN)或用于组织工作。 如果在正常情况下 DNS 请求直接发送到系统配置中定义的 DNS 服务器,那么在 DoH 的情况下,确定主机 IP 地址的请求将封装在 HTTPS 流量中并发送到 HTTP 服务器,解析器在其中处理通过 Web API 发出请求。 现有的DNSSEC标准仅使用加密来验证客户端和服务器,但不能保护流量不被拦截,也不能保证请求的机密性。