Google Chrome
Dopo Mozilla, Google ha annunciato la sua intenzione di condurre un esperimento da testare Implementazione del browser Chrome con «DNS su HTTPS » (DoH, DNS su HTTPS). Con il rilascio di Chrome 78, prevista per il 22 ottobre.
Alcune categorie di utenti per impostazione predefinita potranno partecipare all'esperimento Per abilitare DoH, solo gli utenti parteciperanno alla configurazione di sistema corrente, riconosciuta da alcuni provider DNS che supportano DoH.
La whitelist del provider DNS include servizi di Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing e DNS.SB. Se le impostazioni DNS dell'utente specificano uno dei server DNS sopra indicati, DoH in Chrome sarà abilitato per impostazione predefinita.
Per coloro che utilizzano i server DNS forniti dal provider di servizi Internet locale, tutto rimarrà invariato e la risoluzione del sistema continuerà ad essere utilizzata per le query DNS.
Una differenza importante rispetto all'implementazione DoH in Firefox, in cui la graduale inclusione del DoH predefinito inizierà alla fine di settembre, è la mancanza di collegamento a un unico servizio DoH.
Se Firefox utilizza il server DNS CloudFlare per impostazione predefinita, Chrome aggiornerà solo il metodo di lavoro con DNS a un servizio equivalente, senza cambiare il provider DNS.
Se lo si desidera, l'utente può abilitare o disabilitare DoH utilizzando l'impostazione "chrome: // flags / # dns-over-https". Cosa c'è di più sono supportate tre modalità di funzionamento "Sicuro", "automatico" e "spento".
- In modalità "sicura", gli host vengono determinati solo in base a valori sicuri precedentemente memorizzati nella cache (ricevuti su una connessione protetta) e le richieste tramite DoH, il rollback al DNS normale non viene applicato.
- In modalità "automatica", se DoH e la cache sicura non sono disponibili, è possibile ricevere dati da una cache non sicura e accedervi tramite DNS tradizionale.
- In modalità "off", la cache generale viene controllata per prima e, se non ci sono dati, la richiesta viene inviata tramite il DNS del sistema. La modalità viene impostata tramite le impostazioni kDnsOverHttpsMode e il modello di mappatura del server tramite kDnsOverHttpsTemplates.
L'esperimento per abilitare DoH verrà effettuato su tutte le piattaforme supportate in Chrome, ad eccezione di Linux e iOS, a causa della natura non banale dell'analisi della configurazione del resolver e dell'accesso limitato alla configurazione del sistema DNS.
Nel caso in cui dopo aver abilitato DoH ci siano errori nell'invio delle richieste al server DoH (ad esempio, a causa del suo blocco, guasto o errore di connettività di rete), il browser restituirà automaticamente le impostazioni di sistema DNS.
Lo scopo dell'esperimento è finalizzare l'implementazione DoH ed esaminare l'impatto dell'applicazione DoH sulle prestazioni.
Va notato che, infatti, il supporto DoH è stato aggiunto alla base di codice di Chrome a febbraio, ma per configurare e abilitare DoH, Chrome ha dovuto avviarsi con un flag speciale e un insieme di opzioni non ovvio.
È importante saperlo DoH può essere utile per eliminare le fughe di informazioni sul nome host richiesto tramite i server DNS dei provider, combattere gli attacchi MITM e sostituire il traffico DNS (ad esempio, quando ci si connette a una rete Wi-Fi pubblica) e l'opposizione al blocco a livello DNS (DoH) non può sostituire una VPN nell'area di evitare blocchi implementati a livello DPI) o per organizzare il lavoro se è impossibile accedere direttamente a Server DNS (ad esempio, quando si lavora tramite un proxy).
Se in situazioni normali, le query DNS vengono inviate direttamente ai server DNS definiti nella configurazione del sistema, nel caso di DoH, la richiesta per determinare l'indirizzo IP dell'host viene incapsulata nel traffico HTTPS e inviata al server HTTP in cui il il resolver elabora le richieste tramite l'API web.
Lo standard DNSSEC esistente utilizza la crittografia solo per l'autenticazione del client e del server.