Google Chrome
Après Mozilla, Google a annoncé son intention de mener une expérience pour tester Implémentation du navigateur Chrome avec «DNS sur HTTPS » (DoH, DNS sur HTTPS). Avec la sortie de Chrome 78, prévu pour le 22 octobre.
Certaines catégories d'utilisateurs par défaut pourront participer à l'expérience Pour activer DoH, seuls les utilisateurs participeront à la configuration système actuelle, qui est reconnue par certains fournisseurs DNS prenant en charge DoH.
La liste blanche du fournisseur DNS comprend services de Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing et DNS.SB. Si les paramètres DNS de l'utilisateur spécifient l'un des serveurs DNS ci-dessus, DoH dans Chrome sera activé par défaut.
Pour ceux qui utilisent les serveurs DNS fournis par le fournisseur de services Internet local, tout restera inchangé et la résolution du système continuera à être utilisée pour les requêtes DNS.
Une différence importante par rapport à la mise en œuvre DoH dans Firefox, dans lequel l'inclusion progressive de la DoH par défaut commencera fin septembre, c'est l'absence de lien vers un seul service DoH.
Si Firefox utilise le serveur DNS CloudFlare par défaut, Chrome mettra uniquement à jour la méthode de travail avec DNS vers un service équivalent, sans changer de fournisseur DNS.
Si vous le souhaitez, l'utilisateur peut activer ou désactiver DoH en utilisant le paramètre "chrome: // flags / # dns-over-https". En outre trois modes de fonctionnement sont pris en charge «Sûr», «automatique» et «désactivé».
- En mode «sans échec», les hôtes sont déterminés uniquement sur la base des valeurs de sécurité précédemment mises en cache (reçues via une connexion sécurisée) et des demandes via DoH, le retour au DNS normal n'est pas appliqué.
- En mode "automatique", si DoH et le cache sécurisé ne sont pas disponibles, il est possible de recevoir des données d'un cache non sécurisé et d'y accéder via un DNS traditionnel.
- En mode «off», le cache général est vérifié en premier et, s'il n'y a pas de données, la requête est envoyée via le DNS du système. Le mode est défini via les paramètres kDnsOverHttpsMode et le modèle de mappage de serveur via kDnsOverHttpsTemplates.
L'expérimentation pour activer DoH sera réalisée sur toutes les plates-formes prises en charge dans Chrome, à l'exception de Linux et iOS, en raison de la nature non triviale de l'analyse de la configuration du résolveur et de l'accès limité à la configuration du système DNS.
Dans le cas où après l'activation de DoH, l'envoi des demandes au serveur DoH échoue (par exemple, en raison d'une panne, d'un échec ou d'une défaillance de la connectivité réseau), le navigateur renverra automatiquement les paramètres du système DNS.
Le but de l'expérience est de finaliser l'implémentation DoH et d'examiner l'impact de l'application DoH sur les performances.
Il convient de noter qu'en fait, le support DoH a été ajouté à la base de code Chrome en février, mais pour configurer et activer DoH, Chrome a dû se lancer avec un indicateur spécial et un ensemble d'options non évidentes.
Il est important de savoir que DoH peut être utile pour éliminer les fuites d'informations de nom d'hôte demandé via les serveurs DNS des fournisseurs, combattre les attaques MITM et remplacer le trafic DNS (par exemple, lors de la connexion au Wi-Fi public) et s'opposer au blocage au niveau DNS (DoH) ne peut pas remplacer un VPN dans le domaine d'éviter les blocages implémentés au niveau DPI) ou d'organiser le travail s'il est impossible d'accéder directement aux serveurs DNS (par exemple, lorsque vous travaillez via un proxy).
Si dans des situations normales, les requêtes DNS sont envoyées directement aux serveurs DNS définis dans la configuration du système, alors dans le cas de DoH, la demande de détermination de l'adresse IP de l'hôte est encapsulée dans le trafic HTTPS et envoyée au serveur HTTP dans lequel le le résolveur traite les demandes via l'API Web.
La norme DNSSEC existante utilise le cryptage uniquement pour l'authentification client et serveur.