Google Chrome
След Mozilla, Google обяви намерението си да проведе експеримент за тестване Внедряване на браузър Chrome с «DNS през HTTPS » (DoH, DNS през HTTPS). С пускането на Chrome 78, насрочено за 22 октомври.
Някои категории потребители по подразбиране ще могат да участват в експеримента За да се активира DoH, само потребители ще участват в текущата конфигурация на системата, която се разпознава от определени доставчици на DNS, които поддържат DoH.
Белият списък на доставчика на DNS включва услуги на Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing и DNS.SB. Ако настройките на DNS на потребителя определят един от горните DNS сървъри, DoH в Chrome ще бъде активиран по подразбиране.
За тези, които използват DNS сървърите, предоставени от местния доставчик на интернет услуги, всичко ще остане непроменено и системната разделителна способност ще продължи да се използва за DNS заявки.
Важна разлика от прилагането на DoH във Firefox, където постепенното включване на стандартната DoH ще започне в края на септември, това е липсата на връзка към една DoH услуга.
Ако Firefox използва DNS сървъра CloudFlare по подразбиране, Chrome ще актуализира само метода за работа с DNS до еквивалентна услуга, без да променя доставчика на DNS.
При желание потребителят може да активира или деактивира DoH използвайки настройката "chrome: // flags / # dns-over-https". Какво още поддържат се три режима на работа „Безопасно“, „автоматично“ и „изключено“.
- В "безопасен" режим хостовете се определят само въз основа на кеширани по-рано безопасни стойности (получени чрез защитена връзка) и заявки чрез DoH, връщането към нормален DNS не се прилага.
- В "автоматичен" режим, ако DoH и защитеният кеш не са налични, е възможно да се получават данни от несигурен кеш и да се осъществява достъп до тях чрез традиционния DNS.
- В режим "изключен" първо се проверява общия кеш и ако няма данни, заявката се изпраща през DNS на системата. Режимът се задава чрез настройките на kDnsOverHttpsMode и шаблонът за картографиране на сървъра чрез kDnsOverHttpsTemplates.
Експериментът за активиране на DoH ще се проведе на всички поддържани платформи в Chrome, с изключение на Linux и iOS, поради нетривиалния характер на анализа на конфигурацията на резолвера и ограничения достъп до конфигурацията на DNS системата.
В случай, че след активиране на DoH има неуспехи в изпращането на заявки до DoH сървъра (например поради блокиране, неуспех или неуспех на мрежовата свързаност), браузърът автоматично ще върне настройките на DNS системата.
Целта на експеримента е да финализира внедряването на DoH и да проучи въздействието на приложението DoH върху производителността.
Трябва да се отбележи, че всъщност поддръжката на DoH беше добавена към кодовата база на Chrome през февруари, но за да конфигурира и активира DoH, Chrome трябваше да стартира със специален флаг и неочевиден набор от опции.
Важно е да знаете това DoH може да бъде полезен за премахване на изтичане на информация за име на хост поискано чрез DNS сървърите на доставчиците, борба с MITM атаки и замяна на DNS трафик (например при свързване към обществен Wi-Fi) и противопоставянето на блокиране на DNS ниво (DoH) не може да замени VPN в областта на избягването на внедрени блокове на ниво DPI) или да организира работа, ако е невъзможно да се осъществи директен достъп до DNS сървъри (например при работа чрез прокси сървър).
Ако в нормални ситуации DNS заявките се изпращат директно до DNS сървърите, дефинирани в системната конфигурация, тогава в случая на DoH заявката за определяне на IP адреса на хоста се капсулира в HTTPS трафика и се изпраща на HTTP сървъра, в който резолвър обработва заявки чрез уеб API.
Съществуващият DNSSEC стандарт използва криптиране само за удостоверяване на клиент и сървър.