Google Chrome
Depois do Mozilla, O Google anunciou sua intenção de realizar um experimento para testar Implementação do navegador Chrome com «DNS sobre HTTPS » (DoH, DNS sobre HTTPS). Com o lançamento do Chrome 78, agendada para 22 de outubro.
Algumas categorias de usuários, por padrão, poderão participar do experimento Para habilitar o DoH, apenas os usuários participarão da configuração atual do sistema, que é reconhecida por certos provedores de DNS que oferecem suporte ao DoH.
A lista de permissões do provedor de DNS inclui serviços de Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing e DNS.SB. Se as configurações de DNS do usuário especificarem um dos servidores DNS acima, o DoH no Chrome será ativado por padrão.
Para aqueles que usam os servidores DNS fornecidos pelo provedor de serviços de Internet local, tudo permanecerá inalterado e a resolução do sistema continuará a ser usada para consultas DNS.
Uma diferença importante da implementação de DoH no Firefox, em que a inclusão gradual do padrão DoH começará no final de setembro, é a falta de link para um único serviço DoH.
Se o Firefox usar o servidor DNS CloudFlare por padrão, o Chrome só atualizará o método de trabalho com DNS para um serviço equivalente, sem alterar o provedor DNS.
Se desejar, o usuário pode ativar ou desativar o DoH usando a configuração "chrome: // flags / # dns-over-https". O que mais três modos de operação são suportados "Seguro", "automático" e "desligado".
- No modo "seguro", os hosts são determinados apenas com base em valores de segurança previamente armazenados em cache (recebidos por uma conexão segura) e solicitações por DoH, a reversão para DNS normal não é aplicada.
- No modo "automático", se o DoH e o cache seguro não estiverem disponíveis, é possível receber dados de um cache inseguro e acessá-lo através do DNS tradicional.
- No modo "desligado", o cache geral é verificado primeiro e, se não houver dados, a solicitação é enviada através do DNS do sistema. O modo é definido por meio das configurações de kDnsOverHttpsMode e do modelo de mapeamento do servidor por meio de kDnsOverHttpsTemplates.
O experimento para habilitar o DoH será realizado em todas as plataformas suportadas no Chrome, com exceção do Linux e iOS, devido à natureza não trivial da análise de configuração do resolvedor e acesso limitado à configuração do sistema DNS.
No caso de após a ativação do DoH ocorrerem falhas no envio de solicitações ao servidor DoH (por exemplo, devido ao seu bloqueio, falha ou falha de conectividade de rede), o navegador retornará automaticamente as configurações do sistema DNS.
O objetivo do experimento é finalizar a implementação DoH e examinar o impacto do aplicativo DoH no desempenho.
Deve-se notar que, de fato, o suporte DoH foi adicionado à base de código do Chrome em fevereiro, mas para configurar e habilitar o DoH, o Chrome teve que iniciar com um sinalizador especial e um conjunto não óbvio de opções.
É importante saber que O DoH pode ser útil na eliminação de vazamentos de informações de nome de host solicitados por meio dos servidores DNS dos provedores, combater ataques MITM e substituir o tráfego DNS (por exemplo, ao se conectar a um Wi-Fi público) e o bloqueio de nível de DNS oposto (DoH) não pode substituir uma VPN na área de evitar bloqueios implementados no nível de DPI) ou para organizar o trabalho se for impossível acessar diretamente a Servidores DNS (por exemplo, ao trabalhar por meio de um proxy).
Se em situações normais, as consultas DNS são enviadas diretamente para os servidores DNS definidos na configuração do sistema, então, no caso do DoH, a solicitação para determinar o endereço IP do host é encapsulada no tráfego HTTPS e enviada ao servidor HTTP no qual o o resolvedor processa solicitações por meio da API da web.
O padrão DNSSEC existente usa criptografia apenas para autenticação de cliente e servidor.