Google Chrome
Mozillan jälkeen Google ilmoitti aikomuksestaan suorittaa kokeilu testattavaksi Chrome-selaimen toteutus «DNS HTTPS: n kautta » (DoH, DNS HTTPS: n kautta). Chrome 78: n julkaisun myötä suunniteltu 22. lokakuuta.
Jotkin käyttäjäryhmät voivat oletuksena osallistua kokeiluun DoH: n ottamiseksi käyttöön vain käyttäjät osallistuvat nykyiseen järjestelmän kokoonpanoon, jonka tietyt DoH: ta tukevat DNS-palveluntarjoajat tunnistavat.
DNS-palveluntarjoajan sallittujen luettelo sisältää palvelut Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing ja DNS.SB. Jos käyttäjän DNS-asetukset määrittävät jonkin yllä olevista DNS-palvelimista, DoH Chromessa otetaan oletusarvoisesti käyttöön.
Niille, jotka käyttävät paikallisen Internet-palveluntarjoajan tarjoamia DNS-palvelimia, kaikki pysyy ennallaan ja järjestelmän tarkkuutta käytetään edelleen DNS-kyselyihin.
Tärkeä ero DoH-toteutukseen Firefoxissa, jossa oletuksena olevan DoH: n asteittainen sisällyttäminen alkaa syyskuun lopulla, on linkittämisen puute yhteen DoH-palveluun.
Jos Firefox käyttää oletusarvoisesti CloudFlare-DNS-palvelinta, Chrome päivittää vain DNS-työskentelytavan vastaavaan palveluun muuttamatta DNS-palveluntarjoajaa.
Haluttaessa käyttäjä voi ottaa DoH: n käyttöön tai poistaa sen käytöstä käyttämällä "chrome: // flags / # dns-over-https" -asetusta. Lisäksi kolmea toimintatilaa tuetaan "Turvallinen", "automaattinen" ja "pois päältä".
- "Turvallisessa" tilassa isännät määritetään vain aiemmin välimuistissa olevien turvallisten arvojen (vastaanotettu suojatun yhteyden kautta) ja DoH: n kautta lähetettyjen pyyntöjen perusteella, paluuta normaaliin DNS: ään ei sovelleta.
- Jos DoH ja suojattu välimuisti eivät ole käytettävissä "automaattisessa" tilassa, on mahdollista vastaanottaa tietoja turvattomasta välimuistista ja käyttää niitä perinteisen DNS: n kautta.
- "Pois" -tilassa ensin tarkistetaan yleinen välimuisti, ja jos tietoja ei ole, pyyntö lähetetään järjestelmän DNS: n kautta. Tila asetetaan kDnsOverHttpsMode-asetusten ja palvelimen kartoitusmallin kautta kDnsOverHttpsTemplates.
Koe DoH: n ottamiseksi käyttöön suoritetaan kaikilla tuetuilla Chrome-alustoilla, lukuun ottamatta Linuxia ja iOS: tä, resolverin määritysanalyysin ei-triviaalin luonteen ja rajoitetun pääsyn DNS-järjestelmän kokoonpanoon vuoksi.
Siinä tapauksessa, että DoH: n käyttöönoton jälkeen pyyntöjen lähettäminen DoH-palvelimelle epäonnistuu (esimerkiksi sen eston, virheen tai verkkoyhteysvirheen vuoksi), selain palauttaa DNS-järjestelmän asetukset automaattisesti.
Kokeilun tarkoituksena on viimeistellä DoH-toteutus ja tutkia DoH-sovelluksen vaikutusta suorituskykyyn.
On huomattava, että itse asiassa DoH-tuki lisättiin Chrome-kooditukeen helmikuussa, mutta DoH: n määrittämiseksi ja ottamiseksi käyttöön Chromen oli käynnistettävä erityinen lippu ja ei-ilmeinen joukko vaihtoehtoja.
On tärkeää tietää, että DoH voi auttaa poistamaan isäntänimen tietovuodot palveluntarjoajien DNS-palvelimien kautta, torjua MITM-hyökkäyksiä ja korvaa DNS-liikenne (esimerkiksi kun muodostetaan yhteys julkiseen Wi-Fi-verkkoon) ja vastustamalla DNS-tason estämistä (DoH), ei voi korvata VPN: ää DPI-tasolla toteutettujen lohkojen välttämisen alueella) tai järjestää työtä, jos suoraan pääsyyn on mahdotonta DNS-palvelimet (esimerkiksi kun työskentelet välityspalvelimen kautta).
Jos normaalitilanteissa DNS-kyselyt lähetetään suoraan järjestelmän kokoonpanossa määritettyihin DNS-palvelimiin, DoH: n tapauksessa isännän IP-osoitteen määrityspyyntö kapseloidaan HTTPS-liikenteeseen ja lähetetään palvelimelle HTTP, jossa resolver käsittelee pyynnöt web-sovellusliittymän kautta.
Nykyinen DNSSEC-standardi käyttää salausta vain asiakas- ja palvelintodennuksessa.