Google Chrome
Pēc Mozilla Google paziņoja par nodomu veikt eksperimentu, lai to pārbaudītu Chrome pārlūkprogrammas ieviešana ar «DNS, izmantojot HTTPS » (DoH, DNS, izmantojot HTTPS). Izlaižot pārlūku Chrome 78, paredzēts 22. oktobrī.
Dažas lietotāju kategorijas pēc noklusējuma varēs piedalīties eksperimentā Lai iespējotu DoH, tikai lietotāji piedalīsies pašreizējā sistēmas konfigurācijā, kuru atzīst daži DNS nodrošinātāji, kas atbalsta DoH.
Iekļauts DNS nodrošinātāja baltajā sarakstā pakalpojumi Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing un DNS.SB. Ja lietotāja DNS iestatījumos ir norādīts viens no iepriekš minētajiem DNS serveriem, pārlūkā Chrome pēc noklusējuma tiks iespējota funkcija DoH
Tiem, kas izmanto vietējā interneta pakalpojumu sniedzēja nodrošinātos DNS serverus, viss paliks nemainīgs, un sistēmas izšķirtspēju turpinās izmantot DNS vaicājumiem.
Būtiska atšķirība no DoH ieviešanas Firefox, kurā pakāpeniski tiek iekļauts noklusējuma DoH sāksies septembra beigās, tas ir saiknes trūkums ar vienu DoH pakalpojumu.
Ja Firefox pēc noklusējuma izmanto CloudFlare DNS serveri, pārlūks Chrome atjauninās tikai darba metodi ar DNS līdzvērtīgam pakalpojumam, nemainot DNS nodrošinātāju.
Ja vēlaties, lietotājs var iespējot vai atspējot DoH izmantojot iestatījumu "chrome: // flags / # dns-over-https". Kas vēl tiek atbalstīti trīs darbības režīmi "Drošs", "automātisks" un "izslēgts".
- "Drošajā" režīmā resursdatorus nosaka tikai, pamatojoties uz iepriekš kešatmiņā saglabātajām drošajām vērtībām (kas saņemtas drošā savienojumā) un pieprasījumiem, izmantojot DoH, neatgriešanās uz parasto DNS netiek lietota.
- "Automātiskajā" režīmā, ja DoH un drošā kešatmiņa nav pieejama, ir iespējams saņemt datus no nedrošas kešatmiņas un piekļūt tiem, izmantojot tradicionālo DNS.
- Režīmā "izslēgts" vispirms tiek pārbaudīta vispārējā kešatmiņa, un, ja datu nav, pieprasījums tiek nosūtīts caur sistēmas DNS. Režīms tiek iestatīts, izmantojot kDnsOverHttpsMode iestatījumus, un servera kartēšanas veidni, izmantojot kDnsOverHttpsTemplates.
Eksperiments, lai iespējotu DoH, tiks veikts visās atbalstītajās Chrome platformās, izšķirotnes konfigurācijas analīzes nebūtiskā rakstura un ierobežotās piekļuves DNS sistēmas konfigurācijai dēļ, izņemot Linux un iOS.
Gadījumā, ja pēc DoH iespējošanas nav iespējams nosūtīt pieprasījumus uz DoH serveri (piemēram, tā bloķēšanas, kļūmes vai tīkla savienojuma kļūmes dēļ), pārlūkprogramma automātiski atgriezīs DNS sistēmas iestatījumus.
Eksperimenta mērķis ir pabeigt DoH ieviešanu un pārbaudīt DoH lietojumprogrammas ietekmi uz veiktspēju.
Jāatzīmē, ka faktiski februārī Chrome kodu bāzei tika pievienots DoH atbalsts, bet, lai konfigurētu un iespējotu DoH, pārlūkam Chrome bija jāpalaiž ar īpašu karodziņu un acīmredzamu opciju kopumu.
Ir svarīgi to zināt DoH var būt noderīgs, lai novērstu saimniekdatora informācijas noplūdi pieprasa caur pakalpojumu sniedzēju DNS serveriem, apkarot MITM uzbrukumus un aizstāt DNS trafiku (piemēram, izveidojot savienojumu ar publisko Wi-Fi) un iebilstot pret DNS līmeņa bloķēšanu (DoH), nevar aizstāt VPN DPI līmeņa apieto apvidu apvidū) vai organizēt darbu, ja nav iespējams tieši piekļūt DNS serveri (piemēram, strādājot caur starpniekserveri).
Ja normālās situācijās DNS vaicājumi tiek nosūtīti tieši uz sistēmas konfigurācijā definētajiem DNS serveriem, tad DoH gadījumā pieprasījums noteikt resursdatora IP adresi tiek iekapsulēts HTTPS trafikā un tiek nosūtīts uz servera HTTP, kurā risinātājs apstrādā pieprasījumus, izmantojot tīmekļa API.
Esošais DNSSEC standarts šifrēšanu izmanto tikai klienta un servera autentifikācijai.