Google Chrome
Po Mozille, Google oznámil svoj úmysel uskutočniť experiment na testovanie Implementácia prehliadača Chrome s «DNS cez HTTPS » (DoH, DNS cez HTTPS). S vydaním prehliadača Chrome 78 naplánované na 22. októbra.
Niektoré kategórie používateľov sa predvolene budú môcť zúčastniť experimentu Ak chcete povoliť DoH, iba používatelia sa budú podieľať na aktuálnej konfigurácii systému, ktorú rozpoznávajú určití poskytovatelia DNS, ktorí DoH podporujú.
Zoznam povolených serverov DNS obsahuje služby spoločnosti Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing a DNS.SB. Ak nastavenia DNS používateľa určujú jeden z vyššie uvedených serverov DNS, DoH v prehliadači Chrome bude predvolene povolený.
Pre tých, ktorí používajú servery DNS poskytované miestnym poskytovateľom internetových služieb, zostane všetko nezmenené a pre dotazy DNS sa bude naďalej používať rozlíšenie systému.
Dôležitý rozdiel od implementácie DoH vo Firefoxe, v ktorom je postupné zahrnutie predvoleného DoH sa začne koncom septembra, bude to chýbajúce prepojenie na jednu službu DoH.
Ak Firefox predvolene používa server DNS CloudFlare, Chrome aktualizuje iba spôsob práce so serverom DNS na ekvivalentnú službu bez zmeny poskytovateľa DNS.
Na želanie môže užívateľ povoliť alebo zakázať DoH pomocou nastavenia „chrome: // flags / # dns-over-https“. Čo je viac sú podporované tri režimy prevádzky „Bezpečné“, „automatické“ a „vypnuté“.
- V „bezpečnom“ režime sa hostitelia určujú iba na základe predtým uložených bezpečných hodnôt v pamäti (prijatých cez zabezpečené pripojenie) a požiadaviek prostredníctvom DoH, vrátenie sa k normálnemu DNS sa neaplikuje.
- V „automatickom“ režime, ak nie sú k dispozícii DoH a zabezpečená vyrovnávacia pamäť, je možné prijímať údaje z nezabezpečenej vyrovnávacej pamäte a pristupovať k nim prostredníctvom tradičného servera DNS.
- V režime „vypnuté“ sa najskôr skontroluje všeobecná vyrovnávacia pamäť a ak nie sú k dispozícii žiadne údaje, požiadavka sa odošle prostredníctvom systému DNS. Režim sa nastavuje prostredníctvom nastavení kDnsOverHttpsMode a šablóny mapovania servera prostredníctvom kDnsOverHttpsTemplates.
Experiment umožňujúci DoH sa uskutoční na všetkých podporovaných platformách v prehliadači Chrome, s výnimkou Linuxu a iOS kvôli netriviálnej povahe konfiguračnej analýzy rezolvera a obmedzenému prístupu ku konfigurácii systému DNS.
V prípade, že po povolení DoH dôjde k zlyhaniu pri odosielaní požiadaviek na server DoH (napríklad z dôvodu zlyhania, zlyhania alebo zlyhania sieťového pripojenia), prehľadávač automaticky vráti nastavenia systému DNS.
Účelom experimentu je dokončiť implementáciu DoH a preskúmať vplyv aplikácie DoH na výkon.
Je potrebné poznamenať, že podpora kódov DoH bola do databázy Chrome doplnená vo februári, ale aby bolo možné nakonfigurovať a povoliť DoH, musel byť Chrome spustený so špeciálnym príznakom a zjavnou sadou možností.
Je dôležité to vedieť DoH môže byť nápomocný pri eliminácii únikov informácií o názvoch hostiteľov požadované prostredníctvom serverov DNS poskytovateľov, bojovať proti útokom MITM a nahradiť prenosy DNS (napríklad pri pripojení k verejnej sieti Wi-Fi) a proti blokovaniu na úrovni DNS (DoH) nemôže nahradiť VPN v oblasti vyhýbania sa implementovaným blokom na úrovni DPI) alebo organizovať prácu, ak nie je možný priamy prístup na servery DNS (napríklad pri práci cez server proxy).
Ak sa za normálnych okolností dotazy DNS posielajú priamo na servery DNS definované v konfigurácii systému, potom je v prípade DoH požiadavka na určenie adresy IP hostiteľa zapuzdrená v prenose HTTPS a odoslaná na server HTTP, v ktorom resolver spracuje požiadavky prostredníctvom webového rozhrania API.
Existujúci štandard DNSSEC používa šifrovanie iba na autentifikáciu klienta a servera.