下列的 Mozilla的 Google公司 已報告 關於進行一項實驗來測試為 Chrome 瀏覽器開發的「DNS over HTTPS」(DoH,DNS over HTTPS)實作的意圖。 Chrome 78 定於 22 月 XNUMX 日發布,預設會有一些使用者類別 翻譯的 使用衛生部。 只有目前系統設定指定了某些被認為與 DoH 相容的 DNS 提供者的使用者才會參與啟用 DoH 的實驗。
DNS 提供者白名單包括 服務 Google(8.8.8.8、8.8.4.4)、Cloudflare(1.1.1.1、1.0.0.1)、OpenDNS(208.67.222.222、208.67.220.220)、Quad9(9.9.9.9)、Quad149.112.112.112(185.228.168.168 或者 或者185.228.169.168. ) 。185.222.222.222、185.184.222.222)和 DNS.SB(XNUMX、XNUMX)。 如果使用者的 DNS 設定指定了上述 DNS 伺服器之一,則 Chrome 中的 DoH 將預設為啟用。 對於使用當地網際網路供應商提供的 DNS 伺服器的人來說,一切都將保持不變,系統解析器將繼續用於 DNS 查詢。
與 Firefox 中 DoH 實作的一個重要區別,Firefox 逐漸預設啟用 DoH 將開始 早在 XNUMX 月底,就缺乏與衛生部一項服務的綁定。 如果預設在 Firefox 中 使用 CloudFlare DNS 伺服器,則 Chrome 只會將使用 DNS 的方法更新為等效服務,而不會變更 DNS 提供者。 例如,如果使用者在系統設定中指定了 DNS 8.8.8.8,則 Chrome 將 活性 Google DoH 服務(「https://dns.google.com/dns-query」),如果 DNS 為 1.1.1.1,則 Cloudflare DoH 服務(「https://cloudflare-dns.com/dns-query」)並且 ETC。
讓我們回想一下,DoH 可用於防止透過提供者的 DNS 伺服器洩漏有關所請求主機名稱的資訊、對抗 MITM 攻擊和 DNS 流量欺騙(例如,在連接到公共 Wi-Fi 時)、對抗 DNS 阻塞如果無法直接存取DNS 伺服器(例如,透過代理程式工作時),DoH 無法在繞過DPI 層級實施的封鎖方面取代VPN)或用於組織工作。 如果在正常情況下 DNS 請求直接傳送到系統設定中定義的 DNS 伺服器,那麼在 DoH 的情況下,確定主機 IP 位址的請求將封裝在 HTTPS 流量中並傳送到 HTTP 伺服器,解析器在其中處理透過Web API 發出請求。 現有的DNSSEC標準僅使用加密來驗證客戶端和伺服器,但不能保護流量不被攔截,也不能保證請求的機密性。