Google Chrome
După Mozilla, Google și-a anunțat intenția de a efectua un experiment de testat Implementarea browserului Chrome cu «DNS prin HTTPS » (DoH, DNS prin HTTPS). Odată cu lansarea Chrome 78, programat pentru 22 octombrie.
Unele categorii de utilizatori vor putea participa implicit la experiment Pentru a activa DoH, doar utilizatorii vor participa la configurația curentă a sistemului, care este recunoscută de anumiți furnizori DNS care acceptă DoH.
Lista albă a furnizorului DNS include servicii de Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing și DNS.SB. Dacă setările DNS ale utilizatorului specifică unul dintre serverele DNS de mai sus, DoH în Chrome va fi activat în mod implicit.
Pentru cei care utilizează serverele DNS furnizate de furnizorul local de servicii de internet, totul va rămâne neschimbat și rezoluția sistemului va continua să fie utilizată pentru interogări DNS.
O diferență importantă față de implementarea DoH în Firefox, în care includerea treptată a DoH implicit Va începe la sfârșitul lunii septembrie, este lipsa conectării la un singur serviciu DoH.
Dacă Firefox folosește serverul DNS CloudFlare în mod prestabilit, Chrome va actualiza metoda de lucru cu DNS doar la un serviciu echivalent, fără a schimba furnizorul DNS.
Dacă se dorește, utilizatorul poate activa sau dezactiva DoH folosind setarea „chrome: // flags / # dns-over-https”. Mai mult sunt acceptate trei moduri de operare „Sigur”, „automat” și „dezactivat”.
- În modul „sigur”, gazdele sunt determinate numai pe baza valorilor sigure stocate anterior (primite printr-o conexiune securizată) și a solicitărilor prin DoH, nu se aplică revenirea la DNS normal.
- În modul „automat”, dacă DoH și cache-ul securizat nu sunt disponibile, este posibil să primiți date dintr-un cache nesigur și să le accesați prin DNS tradițional.
- În modul „dezactivat”, cache-ul general este verificat mai întâi și, dacă nu există date, solicitarea este trimisă prin DNS-ul sistemului. Modul este setat prin setările kDnsOverHttpsMode și șablonul de mapare a serverului prin kDnsOverHttpsTemplates.
Experimentul pentru activarea DoH va fi realizat pe toate platformele acceptate din Chrome, cu excepția Linux și iOS, datorită naturii non-banale a analizei configurației resolverului și a accesului limitat la configurația sistemului DNS.
În cazul în care, după activarea DoH, există eșecuri la trimiterea cererilor către serverul DoH (de exemplu, din cauza blocării, eșecului sau eșecului conectivității la rețea), browserul va returna automat setările sistemului DNS.
Scopul experimentului este de a finaliza implementarea DoH și de a examina impactul aplicației DoH asupra performanței.
Trebuie remarcat faptul că, de fapt, suportul DoH a fost adăugat la baza de cod Chrome în februarie, dar pentru a configura și activa DoH, Chrome a trebuit să lanseze cu un steag special și un set de opțiuni neevident.
Este important să știi asta DoH poate fi util în eliminarea scurgerilor de informații despre numele gazdei solicitat prin serverele DNS ale furnizorilor, combate atacurile MITM și înlocuiește traficul DNS (de exemplu, atunci când vă conectați la Wi-Fi public) și blocarea opusă a nivelului DNS (DoH) nu poate înlocui un VPN în zona evitării blocurilor implementate la nivelul DPI) sau pentru a organiza munca dacă este imposibil să accesați direct la Serverele DNS (de exemplu, când lucrați printr-un proxy).
Dacă în situații normale, interogările DNS sunt trimise direct la serverele DNS definite în configurația sistemului, atunci în cazul DoH, cererea de determinare a adresei IP a gazdei este încapsulată în trafic HTTPS și trimisă serverului HTTP în care rezolva procesează solicitările prin API-ul web.
Standardul DNSSEC existent utilizează criptarea numai pentru autentificarea clientului și a serverului.