Google Chrome
Na Mozilla, Google kondigde aan voornemens te zijn een experiment uit te voeren om te testen Chrome-browserimplementatie met «DNS via HTTPS » (DoH, DNS via HTTPS). Met de release van Chrome 78, gepland voor 22 oktober.
Sommige categorieën gebruikers kunnen standaard deelnemen aan het experiment Om DoH in te schakelen, nemen alleen gebruikers deel aan de huidige systeemconfiguratie, die wordt herkend door bepaalde DNS-providers die DoH ondersteunen.
De witte lijst van de DNS-provider bevat diensten van Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing en DNS.SB Als de DNS-instellingen van de gebruiker een van de bovenstaande DNS-servers specificeren, wordt DoH in Chrome standaard ingeschakeld.
Voor degenen die de DNS-servers van de lokale internetprovider gebruiken, blijft alles ongewijzigd en wordt de systeemresolutie gebruikt voor DNS-query's.
Een belangrijk verschil met DoH-implementatie in Firefox, waarin de geleidelijke opname van de standaard DoH begint eind september, het is het ontbreken van een koppeling met een enkele DoH-service.
Als Firefox standaard de CloudFlare DNS-server gebruikt, werkt Chrome alleen de methode van werken met DNS bij naar een gelijkwaardige service, zonder de DNS-provider te wijzigen.
Indien gewenst kan de gebruiker DoH in- of uitschakelen met de instelling "chrome: // flags / # dns-over-https". Bovendien drie werkingsmodi worden ondersteund "Veilig", "automatisch" en "uit".
- In de "veilige" modus worden hosts alleen bepaald op basis van eerder in de cache opgeslagen veilige waarden (ontvangen via een beveiligde verbinding) en verzoeken via DoH, wordt terugdraaien naar normale DNS niet toegepast.
- Als in de "automatische" modus DoH en de beveiligde cache niet beschikbaar zijn, is het mogelijk om gegevens te ontvangen uit een onveilige cache en deze te openen via traditionele DNS.
- In de "uit" -modus wordt eerst de algemene cache gecontroleerd en als er geen gegevens zijn, wordt het verzoek verzonden via de DNS van het systeem. De modus wordt ingesteld via de instellingen van kDnsOverHttpsMode en de sjabloon voor servertoewijzing via kDnsOverHttpsTemplates.
Het experiment om DoH in te schakelen wordt uitgevoerd op alle ondersteunde platforms in Chrome, met uitzondering van Linux en iOS, vanwege de niet-triviale aard van de analyse van de resolverconfiguratie en de beperkte toegang tot de DNS-systeemconfiguratie.
In het geval dat er na het inschakelen van DoH fouten zijn opgetreden bij het verzenden van verzoeken naar de DoH-server (bijvoorbeeld vanwege blokkering, storing of netwerkverbindingsfout), zal de browser automatisch de DNS-systeeminstellingen teruggeven.
Het doel van het experiment is om de DoH-implementatie af te ronden en de impact van de DoH-applicatie op de prestaties te onderzoeken.
Opgemerkt moet worden dat in februari in feite DoH-ondersteuning is toegevoegd aan de Chrome-codebase, maar om DoH te configureren en in te schakelen, moest Chrome worden gestart met een speciale vlag en een niet voor de hand liggende reeks opties.
Het is belangrijk om dat te weten DoH kan nuttig zijn bij het elimineren van informatielekken over hostnamen aangevraagd via de DNS-servers van de providers, bestrijd MITM-aanvallen en vervang DNS-verkeer (bijvoorbeeld bij het verbinden met openbare Wi-Fi) en tegengestelde blokkering van DNS-niveau (DoH) kan een VPN niet vervangen op het gebied van het omzeilen van geïmplementeerde vergrendelingen op het DPI-niveau) of om werk te organiseren als het onmogelijk is om rechtstreeks toegang te krijgen tot DNS-servers (bijvoorbeeld wanneer u via een proxy werkt).
Als in normale situaties DNS-query's rechtstreeks naar de DNS-servers worden gestuurd die zijn gedefinieerd in de systeemconfiguratie, wordt in het geval van DoH het verzoek om het IP-adres van de host te bepalen ingekapseld in het HTTPS-verkeer en verzonden naar de server HTTP waarin de resolver verwerkt verzoeken via de web-API.
De bestaande DNSSEC-standaard gebruikt versleuteling alleen voor client- en serverauthenticatie.