Google Chrome
Pärast Mozillat Google teatas kavatsusest katsetada Chrome'i brauseri juurutamine koos «DNS üle HTTPS-i » (DoH, DNS üle HTTPS). Chrome 78 väljaandmisega kavandatud 22. oktoobriks.
Mõni kasutajakategooria saab vaikimisi katses osaleda DoH-i lubamiseks osalevad praeguses süsteemi konfiguratsioonis ainult kasutajad, mille tunnevad ära teatud DoH-d toetavad DNS-i pakkujad.
DNS-pakkuja lubatud loend sisaldab teenused Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing ja DNS.SB. Kui kasutaja DNS-i seadetes on määratud üks ülaltoodud DNS-serveritest, lubatakse DoH Chrome'is vaikimisi.
Neile, kes kasutavad kohaliku Interneti-teenuse pakkuja pakutavaid DNS-servereid, jääb kõik samaks ja DNS-päringute jaoks kasutatakse jätkuvalt süsteemi eraldusvõimet.
Oluline erinevus DoH rakendamisest Firefoxis, kus vaikimisi DoH järkjärguline kaasamine algab septembri lõpus, see on ühe DoH-teenuse linkimise puudumine.
Kui Firefox kasutab vaikimisi CloudFlare DNS-serverit, värskendab Chrome ainult DNS-iga töötamise meetodit samaväärseks teenuseks, muutmata DNS-i pakkujat.
Soovi korral saab kasutaja DoH lubada või keelata kasutades seadet "chrome: // flags / # dns-over-https". Mis veel toetatakse kolme töörežiimi "Ohutu", "automaatne" ja "välja".
- "Turvarežiimis" määratakse hostid ainult eelnevalt vahemällu salvestatud (turvalise ühenduse kaudu vastu võetud) turvaliste väärtuste ja DoH-i kaudu päringute põhjal. Taastamist tavalisele DNS-ile ei rakendata.
- Automaatrežiimis, kui DoH ja turvaline vahemälu pole saadaval, on võimalik andmeid saada ebaturvalisest vahemälust ja pääseda neile juurde tavapärase DNS-i kaudu.
- "Väljas" režiimis kontrollitakse kõigepealt üldist vahemälu ja kui andmeid pole, saadetakse päring süsteemi DNS-i kaudu. Režiim määratakse kDnsOverHttpsMode'i sätete ja serveri kaardistamise malli kaudu kDnsOverHttpsTemplates.
Katse DoH lubamiseks viiakse läbi kõigil Chrome'i toetatud platvormidel, välja arvatud Linux ja iOS, resolveri konfiguratsioonianalüüsi mitte triviaalse olemuse ja piiratud juurdepääsu tõttu DNS-süsteemi konfiguratsioonile.
Juhul, kui pärast DoH-i lubamist on DoH-serverile päringute saatmisel ebaõnnestumisi (näiteks selle blokeerimise, rikke või võrguühenduse tõrke tõttu), tagastab brauser automaatselt DNS-süsteemi sätted.
Katse eesmärk on viia lõpule DoH-i rakendamine ja uurida DoH-i rakenduse mõju jõudlusele.
Tuleb märkida, et tegelikult lisati veebruaris Chrome'i koodibaasile DoH tugi, kuid DoH seadistamiseks ja lubamiseks pidi Chrome käivitama spetsiaalse lipu ja ilmselgete valikutega.
See on oluline teada DoH võib olla abiks hostinime infolekete kõrvaldamisel teenusepakkujate DNS-serverite kaudu, võidelda MITM-i rünnakute vastu ja asendada DNS-liiklus (näiteks avaliku WiFi-ga ühenduse loomisel) ja DNS-i blokeerimisega (DoH) vastandamine ei saa asendada VPN-i DPI-tasemel rakendatud plokkide vältimise valdkonnas) ega korraldada tööd, kui otse DNS-serverid (näiteks puhverserveri kaudu töötamisel).
Kui tavaolukordades saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritesse, siis DoH puhul kapseldatakse hosti IP-aadressi määramise taotlus HTTPS-i liiklusse ja saadetakse serverisse HTTP, milles resolver töötleb taotlusi veebi API kaudu.
Olemasolev DNSSEC-standard kasutab krüpteerimist ainult kliendi ja serveri autentimiseks.