Etter Mozilla, Google kunngjorde sin intensjon om å gjennomføre et eksperiment for å teste Chrome-nettleserimplementering med «DNS over HTTPS » (DoH, DNS over HTTPS). Med utgivelsen av Chrome 78, planlagt 22. oktober.
Noen brukerkategorier vil som standard kunne delta i eksperimentet For å aktivere DoH vil bare brukere delta i den gjeldende systemkonfigurasjonen, som er anerkjent av visse DNS-leverandører som støtter DoH.
Hvitelisten for DNS-leverandør inkluderer tjenester av Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing og DNS.SB. Hvis brukerens DNS-innstillinger spesifiserer en av de ovennevnte DNS-serverne, vil DoH i Chrome være aktivert som standard.
For de som bruker DNS-serverne fra den lokale Internett-leverandøren, vil alt forbli uendret, og systemoppløsningen vil fortsatt brukes til DNS-spørsmål.
En viktig forskjell fra DoH-implementering i Firefox, der den gradvise inkluderingen av standard DoH begynner i slutten av september, er det mangelen på kobling til en enkelt DoH-tjeneste.
Hvis Firefox bruker CloudFlare DNS-serveren som standard, oppdaterer Chrome bare metoden for å jobbe med DNS til en tilsvarende tjeneste, uten å endre DNS-leverandøren.
Hvis ønskelig, kan bruker aktivere eller deaktivere DoH ved hjelp av innstillingen "chrome: // flags / # dns-over-https". Hva mer tre driftsmåter støttes "Safe", "automatisk" og "av".
- I "sikker" -modus bestemmes verter bare basert på tidligere bufrede sikre verdier (mottatt over en sikker tilkobling) og forespørsler gjennom DoH, tilbakeføring til normal DNS blir ikke brukt.
- I "automatisk" modus, hvis DoH og den sikre hurtigbufferen ikke er tilgjengelig, er det mulig å motta data fra en usikker cache og få tilgang til dem via tradisjonell DNS.
- I "av" -modus blir den generelle hurtigbufferen sjekket først, og hvis det ikke er noen data, sendes forespørselen gjennom systemets DNS. Modusen stilles inn gjennom kDnsOverHttpsMode-innstillinger og serverkartleggingsmalen gjennom kDnsOverHttpsTemplates.
Eksperimentet for å aktivere DoH vil bli utført på alle støttede plattformer i Chrome, med unntak av Linux og iOS på grunn av resolverkonfigurasjonsanalysens ikke-trivielle karakter og begrenset tilgang til DNS-systemkonfigurasjonen.
I tilfelle det etter at du har aktivert DoH, er det feil å sende forespørsler til DoH-serveren (for eksempel på grunn av nettverkstilkoblingsnedbrudd, feil eller feil), vil nettleseren automatisk returnere DNS-systeminnstillingene.
Formålet med eksperimentet er å fullføre DoH-implementeringen og undersøke effekten av DoH-applikasjonen på ytelsen.
Det bør bemerkes at faktisk ble DoH-støtte lagt til Chrome-kodebasen i februar, men for å konfigurere og aktivere DoH, måtte Chrome starte med et spesielt flagg og et ikke-åpenbart sett med alternativer.
Det er viktig å vite det DoH kan være nyttig for å eliminere informasjon om lekkasjer av vertsnavn bedt om gjennom DNS-serverne til leverandørene, bekjempe MITM-angrep og erstatte DNS-trafikk (for eksempel når du kobler til offentlig Wi-Fi) og motstander av DNS-nivå blokkering (DoH) kan ikke erstatte en VPN i området for å unngå implementerte blokker på DPI-nivå) eller å organisere arbeid hvis det er umulig å få tilgang direkte til DNS-servere (for eksempel når du arbeider gjennom en proxy).
Hvis det i normale situasjoner sendes DNS-spørsmål direkte til DNS-serverne som er definert i systemkonfigurasjonen, blir det i tilfelle DoH forespørselen om å bestemme verts IP-adresse innkapslet i HTTPS-trafikken og sendt til serveren HTTP der resolver behandler forespørsler via web-API.
Den eksisterende DNSSEC-standarden bruker kun kryptering for klient- og serverautentisering.