下列的 谷歌公司 关于进行一项实验来测试为 Chrome 浏览器开发的“DNS over HTTPS”(DoH,DNS over HTTPS)实施的意图。 Chrome 78 定于 22 月 XNUMX 日发布,默认情况下会有一些用户类别 使用卫生部。 只有当前系统设置指定了某些被认为与 DoH 兼容的 DNS 提供商的用户才会参与启用 DoH 的实验。
DNS 提供商白名单包括 谷歌(8.8.8.8、8.8.4.4)、Cloudflare(1.1.1.1、1.0.0.1)、OpenDNS(208.67.222.222、208.67.220.220)、Quad9(9.9.9.9、149.112.112.112)、Cleanbrowsing(185.228.168.168) 。 185.228.169.168、185.222.222.222)和 DNS.SB(185.184.222.222、XNUMX)。 如果用户的 DNS 设置指定了上述 DNS 服务器之一,则 Chrome 中的 DoH 将默认启用。 对于那些使用当地互联网提供商提供的 DNS 服务器的人来说,一切都将保持不变,系统解析器将继续用于 DNS 查询。
与 Firefox 中 DoH 实现的一个重要区别,Firefox 逐渐默认启用 DoH 早在 XNUMX 月底,就缺乏与卫生部一项服务的绑定。 如果默认在 Firefox 中 CloudFlare DNS 服务器,则 Chrome 只会将使用 DNS 的方法更新为等效服务,而不会更改 DNS 提供商。 例如,如果用户在系统设置中指定了 DNS 8.8.8.8,则 Chrome 将 Google DoH 服务(“https://dns.google.com/dns-query”),如果 DNS 为 1.1.1.1,则 Cloudflare DoH 服务(“https://cloudflare-dns.com/dns-query”)并且
如果需要,用户可以使用“chrome://flags/#dns-over-https”设置启用或禁用 DoH。 支持三种操作模式:安全、自动和关闭。 在“安全”模式下,仅根据先前缓存的安全值(通过安全连接接收)和通过 DoH 的请求来确定主机;不应用回退到常规 DNS。 在“自动”模式下,如果 DoH 和安全缓存不可用,可以从不安全缓存中检索数据并通过传统 DNS 访问。 在“关闭”模式下,首先检查共享缓存,如果没有数据,则通过系统 DNS 发送请求。 该模式通过设置 kDnsOverHttpsMode ,以及通过 kDnsOverHttpsTemplates 的服务器映射模板。
由于解析解析器设置和限制对系统 DNS 设置的访问的重要性,启用 DoH 的实验将在 Chrome 支持的所有平台上进行,Linux 和 iOS 除外。 如果启用 DoH 后,向 DoH 服务器发送请求时出现问题(例如,由于其阻塞、网络连接或故障),浏览器将自动返回系统 DNS 设置。
实验的目的是最终测试DoH的实现并研究使用DoH对性能的影响。 应该指出的是,实际上卫生部的支持是 早在二月份就进入了 Chrome 代码库,但要配置并启用 DoH 使用特殊标志和一组不明显的选项启动 Chrome。
让我们回想一下,DoH 可用于防止通过提供商的 DNS 服务器泄漏有关所请求主机名的信息、对抗 MITM 攻击和 DNS 流量欺骗(例如,在连接到公共 Wi-Fi 时)、对抗 DNS 阻塞如果无法直接访问 DNS 服务器(例如,通过代理工作时),DoH 无法在绕过 DPI 级别实施的阻止方面取代 VPN)或用于组织工作。 如果在正常情况下 DNS 请求直接发送到系统配置中定义的 DNS 服务器,那么在 DoH 的情况下,确定主机 IP 地址的请求将封装在 HTTPS 流量中并发送到 HTTP 服务器,解析器在其中处理通过 Web API 发出请求。 现有的DNSSEC标准仅使用加密来验证客户端和服务器,但不能保护流量不被拦截,也不能保证请求的机密性。
来源: opennet.ru