"Google Chrome"
Po „Mozilla“ „Google“ paskelbė apie savo ketinimą atlikti bandymą „Chrome“ naršyklės diegimas naudojant «DNS per HTTPS » („DoH“, DNS per HTTPS). Išleidus „Chrome 78“, numatyta spalio 22 d.
Kai kurios kategorijos naudotojai pagal numatytuosius nustatymus galės dalyvauti eksperimente Norėdami įgalinti „DoH“, tik vartotojai dalyvaus dabartinėje sistemos konfigūracijoje, kurią pripažįsta tam tikri „DNS“ teikėjai, palaikantys „DoH“.
Į DNS paslaugų teikėjo baltąjį sąrašą įeina paslaugos „Google“, „Cloudflare“, „OpenDNS“, „Quad9“, „Cleanbrowsing“ ir DNS.SB. Jei vartotojo DNS nustatymuose nurodomas vienas iš aukščiau nurodytų DNS serverių, „DoH“ naršyklėje „Chrome“ bus įgalinta pagal numatytuosius nustatymus.
Tiems, kurie naudojasi vietos interneto paslaugų teikėjo teikiamais DNS serveriais, viskas išliks nepakitusi, o sistemos skiriamoji geba ir toliau bus naudojama DNS užklausoms.
Svarbus skirtumas nuo DoH įgyvendinimo „Firefox“, kuriame palaipsniui įtraukiamas numatytasis „DoH“ prasidės rugsėjo pabaigoje, tai nėra ryšio su viena „DoH“ paslauga.
Jei „Firefox“ pagal numatytuosius nustatymus naudoja „CloudFlare“ DNS serverį, „Chrome“ atnaujins tik darbo su DNS metodą į lygiavertę paslaugą, nekeisdama DNS tiekėjo.
Jei norite, vartotojas gali įjungti arba išjungti „DoH“ naudojant nustatymą „chrome: // flags / # dns-over-https“. Kas daugiau palaikomi trys veikimo režimai „Saugus“, „automatinis“ ir „išjungtas“.
- „Saugiu“ režimu pagrindiniai kompiuteriai nustatomi tik atsižvelgiant į anksčiau talpykloje saugias vertes (gautas per saugų ryšį) ir užklausas per „DoH“, grąžinimas į įprastą DNS netaikomas.
- „Automatiniu“ režimu, jei „DoH“ ir saugiosios talpyklos nėra, galima gauti duomenis iš nesaugios talpyklos ir pasiekti jas per tradicinį DNS.
- „Išjungimo“ režimu pirmiausia patikrinama bendroji talpykla, o jei nėra duomenų, užklausa siunčiama per sistemos DNS. Režimas nustatomas per „kDnsOverHttpsMode“ nustatymus ir serverio atvaizdavimo šabloną per „kDnsOverHttpsTemplates“.
„DoH“ įgalinimo eksperimentas bus atliekamas visose palaikomose „Chrome“ platformose, išskyrus ne „Linux“ ir „iOS“, dėl ne trivialaus „resolver“ konfigūracijos analizės pobūdžio ir ribotos prieigos prie DNS sistemos konfigūracijos.
Tuo atveju, jei įgalinus „DoH“, nepavyksta išsiųsti užklausų „DoH“ serveriui (pavyzdžiui, dėl jo užblokavimo, gedimo ar tinklo ryšio gedimo), naršyklė automatiškai grąžins DNS sistemos nustatymus.
Eksperimento tikslas yra užbaigti DoH įgyvendinimą ir ištirti DoH programos poveikį našumui.
Reikėtų pažymėti, kad iš tikrųjų „DoH“ palaikymas buvo pridėtas prie „Chrome“ kodų bazės vasarį, tačiau norėdamas sukonfigūruoti ir įgalinti „DoH“, „Chrome“ turėjo paleisti su specialia vėliava ir neaiškiu parinkčių rinkiniu.
Svarbu tai žinoti DoH gali būti naudinga pašalinant pagrindinio kompiuterio pavadinimo informacijos nutekėjimą prašoma per teikėjų DNS serverius, kovoti su MITM atakomis ir pakeisti DNS srautą (pvz., kai jungiatės prie viešojo „Wi-Fi“) ir prieštaraudami DNS lygio blokavimui (DoH), negalėsite pakeisti VPN toje srityje, kad išvengtumėte įdiegtų blokų DPI lygiu) arba organizuoti darbą, jei neįmanoma tiesiogiai pasiekti DNS serveriai (pavyzdžiui, dirbant per tarpinį serverį).
Jei įprastomis situacijomis DNS užklausos siunčiamos tiesiai į DNS serverius, apibrėžtus sistemos konfigūracijoje, tada „DoH“ atveju prašymas nustatyti pagrindinio kompiuterio IP adresą įtraukiamas į HTTPS srautą ir siunčiamas į serverio HTTP, kuriame „resolver“ apdoroja užklausas per žiniatinklio API.
Esamas DNSSEC standartas naudoja šifravimą tik kliento ir serverio autentifikavimui.