Efter Mozilla, Google meddelte sin hensigt om at gennemføre et eksperiment for at teste Chrome-browserimplementering med «DNS over HTTPS » (DoH, DNS over HTTPS). Med udgivelsen af Chrome 78, planlagt til 22. oktober.
Nogle kategorier af brugere kan som standard deltage i eksperimentet For at aktivere DoH vil kun brugere deltage i den aktuelle systemkonfiguration, som genkendes af visse DNS-udbydere, der understøtter DoH.
Hvidlisten til DNS-udbyderen inkluderer tjenester af Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing og DNS.SB. Hvis brugerens DNS-indstillinger angiver en af ovenstående DNS-servere, vil DoH i Chrome være aktiveret som standard.
For dem, der bruger DNS-serverne fra den lokale internetudbyder, forbliver alt uændret, og systemopløsningen vil fortsat blive brugt til DNS-forespørgsler.
En vigtig forskel fra DoH-implementering i Firefox, hvor den gradvise inkludering af standard DoH begynder i slutningen af september, er det manglen på at linke til en enkelt DoH-tjeneste.
Hvis Firefox bruger CloudFlare DNS-serveren som standard, opdaterer Chrome kun metoden til at arbejde med DNS til en tilsvarende tjeneste uden at ændre DNS-udbyderen.
Hvis det ønskes, kan brugeren aktivere eller deaktivere DoH ved hjælp af indstillingen "chrome: // flags / # dns-over-https". Hvad mere er tre driftsformer understøttes "Safe", "automatisk" og "off".
- I "sikker" tilstand bestemmes værter kun baseret på tidligere cachelagrede sikre værdier (modtaget via en sikker forbindelse) og anmodninger gennem DoH, tilbageførsel til normal DNS anvendes ikke.
- I "automatisk" tilstand, hvis DoH og den sikre cache ikke er tilgængelige, er det muligt at modtage data fra en usikker cache og få adgang til dem via traditionel DNS.
- I "fra" -tilstand kontrolleres den generelle cache først, og hvis der ikke er nogen data, sendes anmodningen via systemets DNS. Tilstanden indstilles via kDnsOverHttpsMode-indstillinger og serverkortlægningsskabelonen gennem kDnsOverHttpsTemplates.
Eksperimentet for at aktivere DoH vil blive udført på alle understøttede platforme i Chrome, med undtagelse af Linux og iOS på grund af resolverkonfigurationsanalysens ikke-trivielle karakter og begrænset adgang til DNS-systemkonfigurationen.
I tilfælde af at der efter aktivering af DoH er fejl i at sende anmodninger til DoH-serveren (f.eks. På grund af dens blokering, fejl eller netværksforbindelsesfejl), returnerer browseren automatisk DNS-systemindstillingerne.
Formålet med eksperimentet er at færdiggøre DoH-implementeringen og undersøge DoH-applikationens indvirkning på ydeevnen.
Det skal bemærkes, at DoH-support faktisk blev føjet til Chrome-kodebasen i februar, men for at konfigurere og aktivere DoH måtte Chrome starte med et specielt flag og et ikke-åbenlyst sæt muligheder.
Det er vigtigt at vide det DoH kan være nyttigt med at fjerne værtsnavninformationslækager anmodet om gennem udbydernes DNS-servere, bekæmpe MITM-angreb og erstatte DNS-trafik (for eksempel når der oprettes forbindelse til offentlig Wi-Fi) og modstander mod blokering af DNS-niveau (DoH) kan ikke erstatte en VPN i området for at undgå implementerede blokke på DPI-niveau) eller at organisere arbejde, hvis det er umuligt at få adgang direkte til DNS-servere (for eksempel når du arbejder gennem en proxy).
Hvis der i normale situationer sendes DNS-forespørgsler direkte til de DNS-servere, der er defineret i systemkonfigurationen, så i tilfælde af DoH, er anmodningen om at bestemme værtens IP-adresse indkapslet i HTTPS-trafikken og sendt til serveren HTTP, hvori resolver behandler anmodninger via web-API'en.
Den eksisterende DNSSEC-standard bruger kun kryptering til klient- og servergodkendelse.