下列的 Google公司 關於進行一項實驗來測試為 Chrome 瀏覽器開發的「DNS over HTTPS」(DoH,DNS over HTTPS)實作的意圖。 Chrome 78 定於 22 月 XNUMX 日發布,預設會有一些使用者類別 使用衛生部。 只有目前系統設定指定了某些被認為與 DoH 相容的 DNS 提供者的使用者才會參與啟用 DoH 的實驗。
DNS 提供者白名單包括 Google(8.8.8.8、8.8.4.4)、Cloudflare(1.1.1.1、1.0.0.1)、OpenDNS(208.67.222.222、208.67.220.220)、Quad9(9.9.9.9)、Quad149.112.112.112(185.228.168.168 或者 或者185.228.169.168. ) 。185.222.222.222、185.184.222.222)和 DNS.SB(XNUMX、XNUMX)。 如果使用者的 DNS 設定指定了上述 DNS 伺服器之一,則 Chrome 中的 DoH 將預設為啟用。 對於使用當地網際網路供應商提供的 DNS 伺服器的人來說,一切都將保持不變,系統解析器將繼續用於 DNS 查詢。
與 Firefox 中 DoH 實作的一個重要區別,Firefox 逐漸預設啟用 DoH 早在 XNUMX 月底,就缺乏與衛生部一項服務的綁定。 如果預設在 Firefox 中 CloudFlare DNS 伺服器,則 Chrome 只會將使用 DNS 的方法更新為等效服務,而不會變更 DNS 提供者。 例如,如果使用者在系統設定中指定了 DNS 8.8.8.8,則 Chrome 將 Google DoH 服務(「https://dns.google.com/dns-query」),如果 DNS 為 1.1.1.1,則 Cloudflare DoH 服務(「https://cloudflare-dns.com/dns-query」)並且
如果需要,使用者可以使用「chrome://flags/#dns-over-https」設定啟用或停用 DoH。 支援三種操作模式:安全、自動和關閉。 在「安全性」模式下,僅根據先前快取的安全性值(透過安全連線接收)和透過 DoH 的請求來確定主機;不套用回退到常規 DNS。 在「自動」模式下,如果 DoH 和安全快取不可用,可以從不安全快取中檢索資料並透過傳統 DNS 存取。 在「關閉」模式下,首先檢查共享緩存,如果沒有數據,則透過系統 DNS 發送請求。 該模式透過設定 kDnsOverHttpsMode ,以及透過 kDnsOverHttpsTemplates 的伺服器映射範本。
由於解析解析器設定和限制對系統 DNS 設定的存取的重要性,啟用 DoH 的實驗將在 Chrome 支援的所有平台上進行,Linux 和 iOS 除外。 如果啟用 DoH 後,向 DoH 伺服器發送請求時出現問題(例如,由於其阻塞、網路連線或故障),瀏覽器將自動傳回系統 DNS 設定。
實驗的目的是最終測試DoH的實現並研究使用DoH對性能的影響。 應該指出的是,實際上衛生部的支持是 早在二月就進入了 Chrome 程式碼庫,但要設定並啟用 DoH 使用特殊標誌和一組不明顯的選項啟動 Chrome。
讓我們回想一下,DoH 可用於防止透過提供者的 DNS 伺服器洩漏有關所請求主機名稱的資訊、對抗 MITM 攻擊和 DNS 流量欺騙(例如,在連接到公共 Wi-Fi 時)、對抗 DNS 阻塞如果無法直接存取DNS 伺服器(例如,透過代理程式工作時),DoH 無法在繞過DPI 層級實施的封鎖方面取代VPN)或用於組織工作。 如果在正常情況下 DNS 請求直接傳送到系統設定中定義的 DNS 伺服器,那麼在 DoH 的情況下,確定主機 IP 位址的請求將封裝在 HTTPS 流量中並傳送到 HTTP 伺服器,解析器在其中處理透過Web API 發出請求。 現有的DNSSEC標準僅使用加密來驗證客戶端和伺服器,但不能保護流量不被攔截,也不能保證請求的機密性。
來源: opennet.ru