Google Chrome
Nakon Mozille, Google je objavio namjeru da provede eksperiment za testiranje Implementacija preglednika Chrome s «DNS preko HTTPS-a » (DoH, DNS preko HTTPS-a). Izlaskom Chromea 78, zakazan za 22. listopada.
Neke kategorije korisnika prema zadanim postavkama moći će sudjelovati u eksperimentu Da bi se omogućio DoH, samo će korisnici sudjelovati u trenutnoj konfiguraciji sustava, što prepoznaju određeni DNS davatelji usluga koji podržavaju DoH.
Popis dopuštenih usluga DNS-a uključuje usluge od Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing i DNS.SB. Ako korisničke postavke DNS-a navedu jedan od gore navedenih DNS poslužitelja, DoH u Chromeu bit će omogućen prema zadanim postavkama.
Za one koji koriste DNS poslužitelje koje pruža lokalni davatelj internetskih usluga, sve će ostati nepromijenjeno, a razlučivost sustava i dalje će se koristiti za DNS upite.
Važna razlika od primjene DoH-a u Firefoxu, u kojem se postupno uključuje zadani DoH započet će krajem rujna, nedostatak je povezivanja s jednom DoH uslugom.
Ako Firefox prema zadanim postavkama koristi CloudFlare DNS poslužitelj, Chrome će samo ažurirati način rada s DNS-om na ekvivalentnu uslugu, bez mijenjanja davatelja usluga DNS-a.
Po želji korisnik može omogućiti ili onemogućiti DoH pomoću postavke "chrome: // flags / # dns-over-https". Što je više podržana su tri načina rada "Sigurno", "automatski" i "isključeno".
- U "sigurnom" načinu hostovi se određuju samo na temelju prethodno predmemoriranih sigurnih vrijednosti (primljenih putem sigurne veze) i zahtjeva putem DoH, vraćanje na uobičajeni DNS ne primjenjuje se.
- U "automatskom" načinu, ako DoH i sigurna predmemorija nisu dostupni, moguće je primati podatke iz nesigurne predmemorije i pristupiti im putem tradicionalnog DNS-a.
- U načinu "isključeno" prvo se provjerava opća predmemorija i, ako nema podataka, zahtjev se šalje putem DNS-a sustava. Način se postavlja kroz postavke kDnsOverHttpsMode i predložak mapiranja poslužitelja putem kDnsOverHttpsTemplates.
Eksperiment za omogućavanje DoH provest će se na svim podržanim platformama u Chromeu, s izuzetkom Linuxa i iOS-a, zbog netrivijalne prirode analize konfiguracije rješavača i ograničenog pristupa konfiguraciji DNS sustava.
U slučaju da nakon omogućavanja DoH ne uspije poslati zahtjeve na DoH poslužitelj (na primjer, zbog njegovog blokiranja, neuspjeha ili neuspjeha mrežne povezanosti), preglednik će automatski vratiti postavke DNS sustava.
Svrha eksperimenta je finalizirati provedbu DoH i ispitati utjecaj DoH aplikacije na performanse.
Valja napomenuti da je, zapravo, podrška za DoH dodana Chromeovoj bazi koda u veljači, ali da bi konfigurirao i omogućio DoH, Chrome se morao pokrenuti s posebnom zastavicom i neočiglednim skupom opcija.
Važno je to znati DoH može biti koristan u uklanjanju curenja podataka o imenu hosta zatraženo putem DNS poslužitelja davatelja usluga, boriti se protiv MITM napada i zamijeniti DNS promet (na primjer, prilikom povezivanja s javnim Wi-Fi-jem) i suprotstavljanje blokiranju na razini DNS-a (DoH) ne može zamijeniti VPN u području izbjegavanja implementiranih blokova na razini DPI-a) ili organizirati posao ako je nemoguće izravno pristupiti na DNS poslužitelje (na primjer, kada radite preko proxyja).
Ako se u normalnim situacijama DNS upiti šalju izravno DNS poslužiteljima definiranim u konfiguraciji sustava, tada se u slučaju DoH zahtjev za određivanjem IP adrese hosta inkapsulira u HTTPS promet i šalje HTTP poslužitelju u kojem se rješivač obrađuje zahtjeve putem web API-ja.
Postojeći DNSSEC standard koristi šifriranje samo za provjeru autentičnosti klijenta i poslužitelja.