Google Chrome
Po Mozilli, Google ogłosił zamiar przeprowadzenia eksperymentu w celu przetestowania Implementacja przeglądarki Chrome z «DNS przez HTTPS » (DoH, DNS przez HTTPS). Wraz z wydaniem Chrome 78, zaplanowany na 22 października.
Niektóre kategorie użytkowników będą domyślnie mogły uczestniczyć w eksperymencie Aby włączyć DoH, tylko użytkownicy będą uczestniczyć w bieżącej konfiguracji systemu, która jest rozpoznawana przez niektórych dostawców DNS obsługujących DoH.
Biała lista dostawców DNS zawiera usługi świadczone przez Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing oraz DNS.SB. Jeśli ustawienia DNS użytkownika określają jeden z powyższych serwerów DNS, funkcja DoH w Chrome będzie domyślnie włączona.
Dla tych, którzy korzystają z serwerów DNS dostarczonych przez lokalnego dostawcę usług internetowych, wszystko pozostanie niezmienione, a rozdzielczość systemu będzie nadal używana do zapytań DNS.
Ważna różnica w stosunku do implementacji DoH w Firefoksie, w którym stopniowe włączanie domyślnego DoH zacznie się pod koniec września, to brak połączenia z pojedynczą usługą DoH.
Jeśli Firefox domyślnie korzysta z serwera DNS CloudFlare, Chrome tylko zaktualizuje metodę pracy z DNS do równoważnej usługi, bez zmiany dostawcy DNS.
W razie potrzeby użytkownik może włączyć lub wyłączyć DoH używając ustawienia „chrome: // flags / # dns-over-https”. Co więcej obsługiwane są trzy tryby pracy „Bezpieczne”, „automatyczne” i „wyłączone”.
- W trybie „bezpiecznym” hosty są określane tylko na podstawie wcześniej zapisanych w pamięci podręcznej bezpiecznych wartości (odebranych przez bezpieczne połączenie) i żądań za pośrednictwem DoH, nie jest stosowane wycofywanie do normalnego DNS.
- W trybie „automatycznym”, jeśli DoH i bezpieczna pamięć podręczna nie są dostępne, można odebrać dane z niezabezpieczonej pamięci podręcznej i uzyskać do nich dostęp za pośrednictwem tradycyjnego DNS.
- W trybie „off”, ogólna pamięć podręczna jest najpierw sprawdzana, a jeśli nie ma danych, żądanie jest wysyłane przez DNS systemu. Tryb jest ustawiany za pomocą ustawień kDnsOverHttpsMode, a szablon odwzorowania serwera za pomocą kDnsOverHttpsTemplates.
Eksperyment umożliwiający DoH zostanie przeprowadzony na wszystkich obsługiwanych platformach w Chrome, z wyjątkiem Linuksa i iOS, ze względu na nietrywialny charakter analizy konfiguracji resolwera i ograniczony dostęp do konfiguracji systemu DNS.
W przypadku, gdy po włączeniu DoH wystąpią awarie w wysyłaniu żądań do serwera DoH (np. Z powodu jego zablokowania, awarii lub awarii łączności sieciowej) przeglądarka automatycznie zwróci ustawienia systemu DNS.
Celem eksperymentu jest zakończenie implementacji DoH i zbadanie wpływu aplikacji DoH na wydajność.
Należy zauważyć, że w rzeczywistości obsługa DoH została dodana do bazy kodu Chrome w lutym, ale aby skonfigurować i włączyć DoH, Chrome musiał uruchomić się ze specjalną flagą i nieoczywistym zestawem opcji.
Ważne jest, aby wiedzieć, że DoH może być pomocne w eliminowaniu wycieków informacji o nazwach hostów żądane przez serwery DNS dostawców, zwalczać ataki MITM i zastępować ruch DNS (np. przy łączeniu się z publiczną siecią Wi-Fi) i przeciwstawienie się blokowaniu poziomu DNS (DoH) nie może zastąpić VPN w obszarze omijania zaimplementowanych bloków na poziomie DPI) lub organizować pracy, jeśli nie ma bezpośredniego dostępu do Serwery DNS (na przykład podczas pracy przez proxy).
Jeżeli w normalnych sytuacjach zapytania DNS kierowane są bezpośrednio do serwerów DNS zdefiniowanych w konfiguracji systemu, to w przypadku DoH żądanie ustalenia adresu IP hosta jest hermetyzowane w ruchu HTTPS i wysyłane do serwera HTTP, na którym resolver przetwarza żądania za pośrednictwem internetowego interfejsu API.
Istniejący standard DNSSEC wykorzystuje szyfrowanie tylko do uwierzytelniania klienta i serwera.