После Mozilla Google объявил о намерении провести эксперимент по тестированию Реализация браузера Chrome с помощью «DNS через HTTPS » (DoH, DNS через HTTPS). С выпуском Chrome 78, запланировано на 22 октября.
Некоторые категории пользователей по умолчанию смогут участвовать в эксперименте. Чтобы включить DoH, только пользователи будут участвовать в текущей конфигурации системы, которая распознается некоторыми поставщиками DNS, поддерживающими DoH.
Белый список DNS-провайдеров включает услуги Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing и DNS.SB. Если в настройках DNS пользователя указан один из указанных выше DNS-серверов, DoH в Chrome будет включен по умолчанию.
Для тех, кто использует DNS-серверы, предоставленные местным интернет-провайдером, все останется без изменений, и разрешение системы будет по-прежнему использоваться для DNS-запросов.
Важное отличие от реализации DoH в Firefox, в котором постепенное включение DoH по умолчанию начнется в конце сентября, это отсутствие привязки к единой службе DoH.
Если Firefox по умолчанию использует DNS-сервер CloudFlare, Chrome только обновит метод работы с DNS до эквивалентной службы, не меняя поставщика DNS.
При желании пользователь может включить или отключить DoH. используя настройку "chrome: // flags / # dns-over-https". Более того поддерживаются три режима работы «Безопасный», «автоматический» и «выключенный».
- В «безопасном» режиме хосты определяются только на основе ранее кэшированных безопасных значений (полученных через безопасное соединение) и запросов через DoH, откат к нормальному DNS не применяется.
- В «автоматическом» режиме, если DoH и безопасный кеш недоступны, можно получать данные из небезопасного кеша и обращаться к ним через традиционный DNS.
- В «выключенном» режиме сначала проверяется общий кеш, и при отсутствии данных запрос отправляется через DNS системы. Режим устанавливается с помощью параметров kDnsOverHttpsMode и шаблона сопоставления сервера с помощью kDnsOverHttpsTemplates.
Эксперимент по включению DoH будет проводиться на всех поддерживаемых платформах в Chrome, за исключением Linux и iOS, из-за нетривиального характера анализа конфигурации преобразователя и ограниченного доступа к конфигурации системы DNS.
В случае, если после включения DoH возникают сбои при отправке запросов на сервер DoH (например, из-за его блокировки, сбоя или сбоя сетевого подключения), браузер автоматически вернет системные настройки DNS.
Цель эксперимента - завершить реализацию DoH и изучить влияние приложения DoH на производительность.
Следует отметить, что на самом деле поддержка DoH была добавлена в кодовую базу Chrome в феврале., но для настройки и включения DoH необходимо было запускать Chrome со специальным флагом и неочевидным набором параметров.
Важно знать, что DoH может быть полезен в устранении утечек информации об имени хоста запрашивается через DNS-серверы провайдеров, бороться с MITM-атаками и заменять DNS-трафик (например, при подключении к общедоступному Wi-Fi) и противодействие блокировке уровня DNS (DoH) не может заменить VPN в области избежания реализованных блоков на уровне DPI) или организовать работу, если невозможно получить доступ напрямую к DNS-серверы (например, при работе через прокси).
Если в обычных ситуациях запросы DNS отправляются непосредственно на DNS-серверы, определенные в конфигурации системы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на сервер HTTP, на котором resolver обрабатывает запросы через веб-API.
Существующий стандарт DNSSEC использует шифрование только для аутентификации клиента и сервера.