Google Chrome
Selepas Mozilla, Google mengumumkan niatnya untuk melakukan eksperimen untuk menguji Pelaksanaan penyemak imbas Chrome dengan «DNS melalui HTTPS » (DoH, DNS melalui HTTPS). Dengan pelepasan Chrome 78, dijadualkan pada 22 Oktober.
Sebilangan kategori pengguna secara lalai akan dapat mengambil bahagian dalam eksperimen ini Untuk mengaktifkan DoH, hanya pengguna yang akan mengambil bahagian dalam konfigurasi sistem semasa, yang diakui oleh penyedia DNS tertentu yang menyokong DoH.
Senarai putih penyedia DNS termasuk perkhidmatan Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing dan DNS.SB. Sekiranya tetapan DNS pengguna menentukan salah satu pelayan DNS di atas, DoH di Chrome akan diaktifkan secara lalai.
Bagi mereka yang menggunakan pelayan DNS yang disediakan oleh penyedia perkhidmatan Internet tempatan, semuanya tidak akan berubah dan resolusi sistem akan terus digunakan untuk pertanyaan DNS.
Perbezaan penting dari pelaksanaan DoH di Firefox, di mana penyertaan DoH lalai secara beransur-ansur akan bermula pada akhir bulan September, kekurangan tautan ke satu perkhidmatan DoH.
Sekiranya Firefox menggunakan pelayan DNS CloudFlare secara lalai, Chrome hanya akan mengemas kini kaedah bekerja dengan DNS ke perkhidmatan yang setara, tanpa mengubah penyedia DNS.
Sekiranya dikehendaki, pengguna boleh mengaktifkan atau mematikan DoH menggunakan tetapan "chrome: // flags / # dns-over-https". Apa lagi tiga mod operasi disokong "Selamat", "automatik" dan "mati".
- Dalam mod "selamat", host ditentukan hanya berdasarkan nilai selamat yang disimpan sebelumnya (diterima melalui sambungan selamat) dan permintaan melalui DoH, pemulangan ke DNS biasa tidak diterapkan.
- Dalam mod "automatik", jika DoH dan cache selamat tidak tersedia, adalah mungkin untuk menerima data dari cache yang tidak selamat dan mengaksesnya melalui DNS tradisional.
- Dalam mod "mati", cache umum diperiksa terlebih dahulu, dan jika tidak ada data, permintaan akan dikirim melalui DNS sistem. Mod ditetapkan melalui tetapan kDnsOverHttpsMode dan templat pemetaan pelayan melalui kDnsOverHttpsTemplates.
Percubaan untuk mengaktifkan DoH akan dijalankan di semua platform yang disokong di Chrome, dengan pengecualian Linux dan iOS, kerana sifat analisa konfigurasi penyelesaian yang tidak remeh dan akses terhad ke konfigurasi sistem DNS.
Sekiranya selepas mengaktifkan DoH, terdapat kegagalan untuk menghantar permintaan ke pelayan DoH (misalnya, kerana penyekat, kegagalan atau kegagalan penyambungan rangkaian), penyemak imbas akan mengembalikan tetapan sistem DNS secara automatik.
Tujuan eksperimen adalah untuk menyelesaikan pelaksanaan DoH dan mengkaji kesan aplikasi DoH terhadap prestasi.
Harus diingat bahawa, sebenarnya, sokongan DoH telah ditambahkan ke pangkalan kode Chrome pada bulan Februari, tetapi untuk mengkonfigurasi dan mengaktifkan DoH, Chrome harus dilancarkan dengan bendera khas dan sekumpulan pilihan yang tidak jelas.
Adalah penting untuk mengetahui DoH dapat membantu menghilangkan kebocoran maklumat nama host diminta melalui pelayan DNS penyedia, memerangi serangan MITM dan menggantikan lalu lintas DNS (sebagai contoh, ketika menyambung ke Wi-Fi awam) dan menentang penyekatan tahap DNS (DoH) tidak dapat menggantikan VPN di kawasan untuk mengelakkan blok yang dilaksanakan di tingkat DPI) atau untuk mengatur kerja jika mustahil untuk mengakses terus ke Pelayan DNS (contohnya, semasa bekerja melalui proksi).
Jika dalam situasi normal, pertanyaan DNS dikirim langsung ke pelayan DNS yang ditentukan dalam konfigurasi sistem, maka dalam hal DoH, permintaan untuk menentukan alamat IP host dienkapsulasi dalam lalu lintas HTTPS dan dikirim ke server HTTP di mana penyelesai memproses permintaan melalui API web.
Piawai DNSSEC yang ada menggunakan enkripsi hanya untuk pengesahan pelanggan dan pelayan.