Google Chrome
A Mozilla után A Google bejelentette, hogy kísérletet kíván folytatni a tesztelés céljából Chrome böngésző megvalósítása «DNS HTTPS-en keresztül » (DoH, DNS HTTPS-en keresztül). A Chrome 78 megjelenésével október 22-re tervezik.
Egyes felhasználói kategóriák alapértelmezés szerint részt vehetnek a kísérletben A DoH engedélyezéséhez csak a felhasználók vesznek részt az aktuális rendszerkonfigurációban, amelyet egyes, a DoH-t támogató DNS-szolgáltatók felismernek.
A DNS-szolgáltató engedélyezési listája tartalmazza szolgáltatások Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing és DNS.SB. Ha a felhasználó DNS-beállításai megadják a fenti DNS-kiszolgálók egyikét, akkor a DoH a Chrome-ban alapértelmezés szerint engedélyezve lesz.
Azok számára, akik a helyi internetszolgáltató által biztosított DNS-kiszolgálókat használják, minden változatlan marad, és a rendszerfelbontást továbbra is a DNS-lekérdezésekhez használják.
Fontos különbség a DoH megvalósításától a Firefoxban, amelyben az alapértelmezett DoH fokozatos beépítése szeptember végén kezdődik, az egyetlen DoH szolgáltatáshoz való kapcsolódás hiánya.
Ha a Firefox alapértelmezés szerint a CloudFlare DNS-kiszolgálót használja, akkor a Chrome csak a DNS-szolgáltató megváltoztatása nélkül frissíti egy egyenértékű szolgáltatásra a DNS-sel való munka módját.
Kívánt esetben a felhasználó engedélyezheti vagy letilthatja a DoH-t a "chrome: // flags / # dns-over-https" beállítás használatával. Mi több három működési mód támogatott "Biztonságos", "automatikus" és "kikapcsolt".
- "Biztonságos" módban a gazdagépeket csak a korábban gyorsítótárazott biztonságos értékek (biztonságos kapcsolaton keresztül fogadott) és a DoH-on keresztüli kérések alapján határozzák meg, a normál DNS-re történő visszagörgetés nem alkalmazandó.
- "Automatikus" módban, ha a DoH és a biztonságos gyorsítótár nem érhető el, akkor lehetőség van adatok nem biztonságos gyorsítótárból történő fogadására és a hagyományos DNS-en keresztül történő elérésére.
- "Ki" módban először az általános gyorsítótárat ellenőrzik, és ha nincs adat, akkor a kérelmet a rendszer DNS-jén keresztül küldik el. Az üzemmód a kDnsOverHttpsMode beállításain és a kiszolgáló leképezési sablonon keresztül a kDnsOverHttpsTemplates segítségével állítható be.
A DoH engedélyezésére szolgáló kísérletet a Chrome összes támogatott platformján végzik, a Linux és az iOS kivételével, a felbontókonfiguráció-elemzés nem triviális jellege és a DNS-rendszerkonfigurációhoz való korlátozott hozzáférés miatt.
Abban az esetben, ha a DoH engedélyezése után nem sikerül elküldeni a kérelmeket a DoH szervernek (például blokkolása, meghibásodása vagy hálózati csatlakozási hiba miatt), a böngésző automatikusan visszaadja a DNS rendszer beállításait.
A kísérlet célja a DoH megvalósításának véglegesítése és a DoH alkalmazás teljesítményre gyakorolt hatásának vizsgálata.
Meg kell jegyezni, hogy valójában a DoH támogatása került fel a Chrome kódbázisra februárban, de a DoH konfigurálásához és engedélyezéséhez a Chrome-nak egy speciális zászlóval és nem nyilvánvaló opciókkal kellett elindulnia.
Fontos tudni ezt A DoH hasznos lehet a gazdagépnévvel kapcsolatos információszivárgások kiküszöbölésében a szolgáltatók DNS-kiszolgálóin keresztül kérik, harcoljon a MITM támadások ellen és cserélje ki a DNS forgalmat (például nyilvános Wi-Fi-hez való csatlakozáskor) és a DNS-szintű blokkolás (DoH) ellenzése nem helyettesítheti a VPN-t a DPI-szintű megvalósított blokkok elkerülése területén), vagy nem szervezheti meg a munkát, ha lehetetlen közvetlenül hozzáférni a DNS-kiszolgálók (például proxyn keresztül történő munkavégzéskor).
Ha normál esetben a DNS-lekérdezéseket közvetlenül a rendszerkonfigurációban meghatározott DNS-kiszolgálóknak küldik, akkor a DoH esetében a gazdagép IP-címének meghatározására vonatkozó kérés be van zárva a HTTPS forgalomba, és elküldésre kerül annak a HTTP szervernek, amelyben a A resolver a webes API-n keresztül dolgozza fel a kéréseket.
A meglévő DNSSEC szabvány csak az ügyfél és a kiszolgáló hitelesítéséhez használ titkosítást.