Google Chrome
Po Mozille, Google oznámil svůj záměr provést experiment za účelem testování Implementace prohlížeče Chrome s «DNS přes HTTPS » (DoH, DNS přes HTTPS). S vydáním Chrome 78 naplánováno na 22. října.
Některé kategorie uživatelů se ve výchozím nastavení budou moci experimentu účastnit Chcete-li povolit DoH, budou se na aktuální konfiguraci systému podílet pouze uživatelé, což je rozpoznáno určitými poskytovateli DNS, kteří DoH podporují.
Seznam povolených poskytovatelů DNS zahrnuje služby Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing a DNS.SB. Pokud nastavení DNS uživatele určuje jeden z výše uvedených serverů DNS, DoH v prohlížeči Chrome bude ve výchozím nastavení povolen.
Pro ty, kteří používají servery DNS poskytované místním poskytovatelem internetových služeb, vše zůstane beze změny a rozlišení systému se bude i nadále používat pro dotazy DNS.
Důležitý rozdíl od implementace DoH ve Firefoxu, ve kterém postupné zahrnutí výchozí DoH začne na konci září, je to nedostatek propojení s jedinou službou DoH.
Pokud Firefox ve výchozím nastavení používá server DNS CloudFlare, Chrome aktualizuje pouze způsob práce s DNS na ekvivalentní službu, aniž by změnil poskytovatele DNS.
V případě potřeby může uživatel povolit nebo zakázat DoH pomocí nastavení „chrome: // flags / # dns-over-https“. Co víc jsou podporovány tři režimy provozu „Bezpečné“, „automatické“ a „vypnuté“.
- V „bezpečném“ režimu jsou hostitelé určováni pouze na základě dříve uložených bezpečných hodnot v mezipaměti (přijatých přes zabezpečené připojení) a požadavků prostřednictvím DoH, vrácení zpět k normálnímu DNS se nepoužije.
- V „automatickém“ režimu, pokud DoH a zabezpečená mezipaměť nejsou k dispozici, je možné přijímat data z nezabezpečené mezipaměti a přistupovat k nim přes tradiční DNS.
- V režimu „vypnuto“ je nejprve zkontrolována obecná mezipaměť, a pokud nejsou k dispozici žádná data, je požadavek odeslán prostřednictvím systému DNS. Režim se nastavuje prostřednictvím nastavení kDnsOverHttpsMode a šablony mapování serveru prostřednictvím kDnsOverHttpsTemplates.
Experiment s povolením DoH bude proveden na všech podporovaných platformách v prohlížeči Chrome, s výjimkou Linuxu a iOS, kvůli netriviální povaze analýzy konfigurace resolveru a omezenému přístupu ke konfiguraci systému DNS.
V případě, že po povolení DoH dojde k selhání při odesílání požadavků na server DoH (například z důvodu jeho blokování, selhání nebo selhání připojení k síti), prohlížeč automaticky vrátí nastavení systému DNS.
Účelem experimentu je dokončit implementaci DoH a prozkoumat dopad aplikace DoH na výkon.
Je třeba poznamenat, že ve skutečnosti byla podpora DoH přidána do Chrome codebase v únoruChcete-li však nakonfigurovat a povolit DoH, musel Chrome spustit se zvláštním příznakem a nejasnou sadou možností.
Je důležité to vědět DoH může být užitečný při eliminaci úniku informací o názvu hostitele požadováno prostřednictvím serverů DNS poskytovatelů, bojovat proti útokům MITM a nahradit provoz DNS (například při připojení k veřejné Wi-Fi) a proti blokování úrovně DNS (DoH) nemůže nahradit VPN v oblasti vyhýbání se implementovaným blokům na úrovni DPI) nebo organizovat práci, pokud není možný přímý přístup k Servery DNS (například při práci prostřednictvím serveru proxy).
Pokud jsou v normálních situacích dotazy DNS odesílány přímo na servery DNS definované v konfiguraci systému, pak je v případě DoH požadavek na určení adresy IP hostitele zapouzdřen v provozu HTTPS a odeslán na server HTTP, ve kterém resolver zpracovává požadavky prostřednictvím webového API.
Stávající standard DNSSEC používá šifrování pouze pro ověření klienta a serveru.