Google Chrome
Nakon Mozille, Google je objavio namjeru da provede eksperiment za testiranje Implementacija preglednika Chrome sa «DNS preko HTTPS-a » (DoH, DNS preko HTTPS-a). Izlaskom Chrome 78, zakazano za 22. oktobar.
Neke kategorije korisnika prema zadanim postavkama moći će sudjelovati u eksperimentu Da bi se omogućio DoH, samo će korisnici sudjelovati u trenutnoj konfiguraciji sistema, što prepoznaju određeni DNS dobavljači koji podržavaju DoH.
Bijela lista DNS dobavljača uključuje usluge od Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing i DNS.SB. Ako korisničke DNS postavke odrede jedan od gore navedenih DNS poslužitelja, DoH u Chromeu bit će omogućen prema zadanim postavkama.
Za one koji koriste DNS servere koje pruža lokalni dobavljač Internet usluga, sve će ostati nepromijenjeno, a sistemska rezolucija će se i dalje koristiti za DNS upite.
Važna razlika od primjene DoH u Firefoxu, u kojem se postupno uključuje zadani DoH započet će krajem septembra, to je nedostatak povezivanja s jednom DoH uslugom.
Ako Firefox po defaultu koristi CloudFlare DNS server, Chrome će samo ažurirati metod rada s DNS-om na ekvivalentnu uslugu, bez promjene DNS dobavljača.
Po želji korisnik može omogućiti ili onemogućiti DoH pomoću postavke "chrome: // flags / # dns-over-https". Šta više podržana su tri načina rada "Sigurno", "automatski" i "isključeno".
- U "sigurnom" načinu, hostovi se određuju samo na osnovu prethodno predmemoriranih sigurnih vrijednosti (primljenih preko sigurne veze) i zahtjeva preko DoH, vraćanje na normalni DNS se ne primjenjuje.
- U "automatskom" načinu, ako DoH i sigurna predmemorija nisu dostupni, moguće je primati podatke iz nesigurne predmemorije i pristupiti im putem tradicionalnog DNS-a.
- U režimu "isključeno" prvo se provjerava opća predmemorija, a ako nema podataka, zahtjev se šalje putem sistemskog DNS-a. Način se postavlja kroz postavke kDnsOverHttpsMode i predložak mapiranja poslužitelja putem kDnsOverHttpsTemplates.
Eksperiment za omogućavanje DoH provest će se na svim podržanim platformama u Chromeu, sa izuzetkom Linuxa i iOS-a, zbog netrivijalne prirode analize konfiguracije razlučivača i ograničenog pristupa konfiguraciji DNS sistema.
U slučaju da nakon omogućavanja DoH ne uspije poslati zahtjeve na DoH poslužitelj (na primjer, zbog njegovog blokiranja, neuspjeha ili neuspjeha mrežne povezanosti), preglednik će automatski vratiti postavke DNS sistema.
Svrha eksperimenta je finalizirati provedbu DoH i ispitati utjecaj DoH primjene na performanse.
Treba napomenuti da je, u stvari, podrška za DoH dodana u Chrome bazu kodova u februaru, ali da bi konfigurirao i omogućio DoH, Chrome se morao pokrenuti s posebnom zastavicom i neočiglednim skupom opcija.
Važno je to znati DoH može biti od pomoći u uklanjanju curenja informacija o imenu hosta zatraženo preko DNS servera dobavljača, boriti se protiv MITM napada i zamijeniti DNS promet (na primjer, kada se povezujete na javni Wi-Fi) i suprotstavljanje blokiranju nivoa DNS-a (DoH) ne može zamijeniti VPN u području zaobilaženja implementiranih brava na nivou DPI) ili organizirati posao ako je nemoguće pristupiti izravno DNS serveri (na primjer, kada radite preko proxyja).
Ako se u normalnim situacijama DNS upiti šalju izravno DNS poslužiteljima definiranim u konfiguraciji sistema, tada je u slučaju DoH zahtjev za određivanjem IP adrese hosta enkapsuliran u HTTPS promet i poslan na HTTP poslužitelja u kojem je rješivač obrađuje zahtjeve putem web API-ja.
Postojeći DNSSEC standard koristi šifriranje samo za provjeru autentičnosti klijenta i poslužitelja.