Google Chrome
Mozillaの後、 グーグルはテストするための実験を行う意向を発表した «を使用したChromeブラウザの実装DNS overHTTPS» (DoH、DNS over HTTPS)。 Chrome 78のリリースに伴い、 22月XNUMX日に予定されています。
一部のカテゴリのユーザーは、デフォルトで実験に参加できます DoHを有効にするには、ユーザーのみが現在のシステム構成に参加します。これは、DoHをサポートする特定のDNSプロバイダーによって認識されます。
DNSプロバイダーのホワイトリストには次のものが含まれます のサービス Google、Cloudflare、OpenDNS、Quad9、Cleanbrowsing、DNS.SB。 ユーザーのDNS設定で上記のDNSサーバーのいずれかが指定されている場合、ChromeのDoHはデフォルトで有効になります。
ローカルインターネットサービスプロバイダーが提供するDNSサーバーを使用している場合は、すべてが変更されず、システム解像度が引き続きDNSクエリに使用されます。
DoH実装との重要な違い Firefoxでは、デフォルトのDoHが徐々に含まれています XNUMX月末に開始されますが、これは単一のDoHサービスへのリンクが不足しているためです。
FirefoxがデフォルトでCloudFlareDNSサーバーを使用している場合、ChromeはDNSプロバイダーを変更せずに、DNSの操作方法を同等のサービスに更新するだけです。
必要に応じて、ユーザーはDoHを有効または無効にできます 「chrome://フラグ/#dns-over-https」設定を使用します。 そのうえ XNUMXつの操作モードがサポートされています 「安全」、「自動」、「オフ」。
- 「セーフ」モードでは、ホストは以前にキャッシュされたセーフ値(安全な接続を介して受信)とDoHを介した要求にのみ基づいて決定され、通常のDNSへのロールバックは適用されません。
- 「自動」モードでは、DoHと安全なキャッシュが利用できない場合、安全でないキャッシュからデータを受信し、従来のDNSを介してアクセスすることができます。
- 「オフ」モードでは、最初に一般キャッシュがチェックされ、データがない場合、要求はシステムのDNSを介して送信されます。 モードはkDnsOverHttpsMode設定を介して設定され、サーバーマッピングテンプレートはkDnsOverHttpsTemplatesを介して設定されます。
DoHを有効にする実験は、Chromeでサポートされているすべてのプラットフォームで実行されます。 LinuxとiOSを除いて、リゾルバー構成分析の重要な性質とDNSシステム構成へのアクセス制限のため。
DoHを有効にした後、DoHサーバーへの要求の送信に失敗した場合(たとえば、ブロッキング、障害、またはネットワーク接続の障害が原因で)、ブラウザーはDNSシステム設定を自動的に返します。
実験の目的は、DoHの実装を完成させ、DoHアプリケーションがパフォーマンスに与える影響を調べることです。
実際、XNUMX月にDoHサポートがChromeコードベースに追加されたことに注意してください。ただし、DoHを構成して有効にするには、Chromeを特別なフラグと非自明なオプションのセットで起動する必要がありました。
それを知っておくことは重要です DoHは、ホスト名情報の漏洩を排除するのに役立ちます プロバイダーのDNSサーバーを介して要求され、 MITM攻撃に対抗し、DNSトラフィックを置き換えます (たとえば、パブリックWi-Fiに接続する場合)および反対のDNSレベルのブロッキング(DoH)は、DPIレベルで実装されたブロックを回避する領域でVPNを置き換えることはできません)または直接アクセスできない場合は作業を整理するDNSサーバーへ(たとえば、プロキシを介して作業する場合)。
通常の状況では、DNSクエリはシステム構成で定義されたDNSサーバーに直接送信され、DoHの場合、ホストのIPアドレスを決定する要求はHTTPSトラフィックにカプセル化され、リゾルバーが存在するサーバーHTTPに送信されます。 WebAPIを介してリクエストを処理します。
既存のDNSSEC標準は、クライアントとサーバーの認証にのみ暗号化を使用します。