Google Chrome
Després de Mozilla, Google va anunciar la seva intenció de realitzar un experiment per provar la implementació de el navegador de Chrome amb «DNS sobre HTTPS » (DOH, DNS sobre HTTPS). Amb el llançament de Chrome 78, prevista per al 22 d'octubre.
Algunes categories d'usuaris per defecte podran participar en l'experiment per habilitar DOH, només els usuaris participaran en la configuració actual de sistema, de la qual es reconeixen certs proveïdors de DNS que són compatibles amb Doh.
La llista blanca de proveïdors de DNS inclou serveis de Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing i DNS.SB. Si la configuració de DNS de l'usuari especifica un dels servidors DNS anteriors, Doh a Chrome s'activarà per defecte.
Per a aquells que fan servir els servidors DNS proporcionats pel proveïdor local de serveis d'Internet, tot romandrà sense canvis i la resolució de sistema continuarà usant-se per consultes DNS.
Una diferència important respecte a la implementació de Doh a Firefox, en la qual la inclusió gradual de l'Doh predeterminat començarà a finals de setembre, és la manca de vinculació a un únic servei Doh.
Si el Firefox utilitza el servidor DNS CloudFlare de defecte, Chrome només actualitzarà el mètode de treballar amb DNS a un servei equivalent, sense canviar el proveïdor de DNS.
Si ho desitja, l'usuari pot activar o desactivar Doh utilitzant la configuració «chrome: // flags / # dns-over-https». A més s'admeten tres modes de funcionament «Segur», «automàtic» i «apagat».
- En la manera «segur», els hosts es determinen només en funció dels valors segurs prèviament emmagatzemats en memòria cau (rebuts a través d'una connexió segura) i les sol·licituds a través d'Doh, no s'aplica la reversió a l'DNS normal.
- En la manera «automàtica», si Doh i la memòria cau segur no estan disponibles, és possible rebre dades d'un cau insegur i accedir a través de l'DNS tradicional.
- En la manera «apagat», la memòria cau general es verifica primer i, si no hi ha dades, la sol·licitud s'envia a través del DNS de sistema. La manera s'estableix a través de la configuració de kDnsOverHttpsMode i la plantilla de mapeig de servidor a través d'kDnsOverHttpsTemplates.
L'experiment per habilitar Doh es durà a terme en totes les plataformes compatibles a Chrome, amb l'excepció de Linux i iOS, a causa de la naturalesa no trivial d'l'anàlisi de la configuració de l'resolutor i l'accés limitat a la configuració de sistema DNS.
En el cas que després d'habilitar Doh hagi falles a l'enviar sol·licituds a servidor Doh (per exemple, per la seva bloqueig, falla o falla la connexió de xarxes), el navegador retornarà automàticament la configuració de sistema DNS.
El propòsit de l'experiment és finalitzar la implementació de DOH i examinar l'impacte de l'aplicació DOH en el rendiment.
Cal assenyalar que, de fet, el suport Doh es va agregar a la base de codi de Chrome al febrer, Però per configurar i habilitar Doh, Chrome havia de llançar-se amb un indicador especial i un conjunt d'opcions no obvi.
És important saber que DOH pot ser útil per eliminar fuites d'informació sobre els noms de host sol·licitats a través dels servidors DNS dels proveïdors, combatre els atacs MITM i reemplaçar el trànsit DNS (Per exemple, quan es connecta a Wi-Fi públic) i oposar-se a el bloqueig de nivell DNS (DOH) no pot reemplaçar una VPN en l'àrea d'evitar bloquejos implementats en el nivell DPI) o per organitzar la feina si és impossible accedir directament als servidors DNS (per exemple, quan es treballa a través d'un servidor intermediari).
Si en situacions normals, les consultes DNS s'envien directament als servidors DNS definits en la configuració de sistema, llavors, en el cas de Doh, la sol·licitud per determinar l'adreça IP de l'host s'encapsula en el tràfic HTTPS i s'envia a l'servidor HTTP en què el resolutor processa les sol·licituds a través de l'API web.
L'estàndard DNSSEC existent fa servir encriptació només per a l'autenticació de clients i servidors.