Chrome 78 החל להתנסות ב- DNS באמצעות HTTPS

אחרי מוזילה, גוגל הודיעה על כוונתה לערוך ניסוי לבדיקה יישום דפדפן Chrome עם «DNS באמצעות HTTPS » (DoH, DNS על HTTPS). עם שחרורו של Chrome 78, מתוכנן ל -22 באוקטובר.

כמה קטגוריות משתמשים כברירת מחדל יוכלו להשתתף בניסוי כדי לאפשר DoH, רק משתמשים ישתתפו בתצורת המערכת הנוכחית, המוכרת על ידי ספקי DNS מסוימים התומכים ב- DoH.

רשימת ההיתרים של ספק DNS כוללת שירותי גוגל, Cloudflare, OpenDNS, Quad9, Cleanbrowsing ו- DNS.SB. אם הגדרות ה- DNS של המשתמש מציינות את אחד משרתי ה- DNS לעיל, DoH ב- Chrome יופעל כברירת מחדל.

לאלו המשתמשים בשרתי ה- DNS המסופקים על ידי ספק שירותי האינטרנט המקומי, הכל יישאר ללא שינוי ורזולוציית המערכת תמשיך לשמש לשאילתות DNS.

הבדל חשוב מיישום DoH ב- Firefox, בו הכללה הדרגתית של ברירת המחדל של DoH יתחיל בסוף ספטמבר, זהו היעדר קישור לשירות DoH יחיד.

אם פיירפוקס משתמש בשרת ה- CloudFlare כברירת מחדל, Chrome יעדכן רק את שיטת העבודה עם DNS לשירות מקביל, מבלי לשנות את ספק ה- DNS.

אם תרצה, המשתמש יכול להפעיל או להשבית את DoH באמצעות ההגדרה "chrome: // flags / # dns-over-https". מה עוד תומכים בשלושה מצבי פעולה "בטוח", "אוטומטי" ו- "כבוי".

• במצב "בטוח", המארחים נקבעים רק על סמך ערכי בטוח שנשמרו בעבר במטמון (שהתקבלו באמצעות חיבור מאובטח) ובקשות מעל DoH, החזרת ה- DNS לא רגילה אינה מוחלת.
• במצב "אוטומטי", אם DoH והמטמון המאובטח אינם זמינים, ניתן לקבל נתונים ממטמון לא מאובטח ולגשת אליו דרך DNS מסורתי.
• במצב "כבוי", המטמון הכללי נבדק תחילה, ואם אין נתונים, הבקשה נשלחת דרך ה- DNS של המערכת. המצב מוגדר באמצעות הגדרות kDnsOverHttpsMode ותבנית מיפוי השרת דרך kDnsOverHttpsTemplates.

הניסוי לאפשר DoH יבוצע בכל הפלטפורמות הנתמכות ב- Chrome, למעט לינוקס ו- iOS, בגלל האופי הלא טריוויאלי של ניתוח תצורת הרזולר והגישה המוגבלת לתצורת מערכת ה- DNS.

במקרה שלאחר הפעלת DoH יש כשלים בשליחת בקשות לשרת DoH (למשל, בגלל חסימתו, כשלו או כשל בקישוריות לרשת), הדפדפן יחזיר אוטומטית את הגדרות מערכת ה- DNS.

מטרת הניסוי היא לסיים את יישום ה- DoH ולבחון את ההשפעה של יישום ה- DoH על הביצועים.

יש לציין כי למעשה, תמיכה ב- DoH נוספה לבסיס הקוד של Chrome בפברואר, אך כדי להגדיר ולהפעיל את DoH, Chrome נאלץ להשיק עם דגל מיוחד ומערכת אפשרויות לא ברורה.

חשוב לדעת זאת DoH יכול להיות מועיל בביטול דליפות מידע על שם המארח מתבקש דרך שרתי ה- DNS של הספקים, להילחם בהתקפות MITM ולהחליף תעבורת DNS (לדוגמא, כאשר מתחברים ל- Wi-Fi ציבורי) ומתנגדים לחסימת רמת DNS (DoH) אינם יכולים להחליף VPN בתחום הימנעות מחסימות מיושמות ברמת DPI) או לארגן עבודה אם אי אפשר לגשת ישירות אל שרתי DNS (למשל, כאשר עובדים דרך פרוקסי).

אם במצבים רגילים, שאילתות DNS נשלחות ישירות לשרתי ה- DNS שהוגדרו בתצורת המערכת, אז במקרה של DoH, הבקשה לקבוע את כתובת ה- IP של המארח נעטפת בתעבורת HTTPS ונשלחת לשרת ה- HTTP שבו פותר מעבד בקשות דרך ה- API של האינטרנט.

תקן ה- DNSSEC הקיים משתמש בהצפנה רק לצורך אימות לקוח ושרת.