Google Chrome
Po Mozilli, Google je sporočil, da namerava izvesti poskus za testiranje Izvedba brskalnika Chrome z «DNS prek HTTPS » (DoH, DNS prek HTTPS). Z izdajo Chroma 78 predvidoma 22. oktobra.
Nekatere kategorije uporabnikov bodo privzeto lahko sodelovale v poskusu Če želite omogočiti DoH, bodo v trenutni konfiguraciji sistema sodelovali samo uporabniki, ki jih prepoznajo nekateri ponudniki DNS, ki podpirajo DoH.
Seznam dovoljenih ponudnikov DNS vključuje storitve Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing in DNS.SB. Če uporabniške nastavitve DNS določajo enega od zgornjih strežnikov DNS, bo DoH v Chromu privzeto omogočen.
Za tiste, ki uporabljajo strežnike DNS, ki jih zagotavlja lokalni ponudnik internetnih storitev, bo vse ostalo nespremenjeno, sistemska ločljivost pa se bo še naprej uporabljala za poizvedbe DNS.
Pomembna razlika od izvajanja DoH v Firefoxu, v katerem je postopna vključitev privzetega DoH se bo začelo konec septembra, gre za pomanjkanje povezave z eno samo storitvijo DoH.
Če Firefox privzeto uporablja strežnik DNS CloudFlare, bo Chrome posodobil samo način dela z DNS na enakovredno storitev, ne da bi spremenil ponudnika DNS.
Po želji lahko uporabnik omogoči ali onemogoči DoH z uporabo nastavitve "chrome: // flags / # dns-over-https". Kaj je več podprti so trije načini delovanja "Varno", "samodejno" in "izključeno".
- V "varnem" načinu se gostitelji določijo samo na podlagi predhodno predpomnjenih varnih vrednosti (prejetih prek varne povezave) in zahtev prek DoH, povratno vrnitev v običajni DNS ne velja.
- Če v »samodejnem« načinu DoH in varni predpomnilnik nista na voljo, je mogoče podatke iz negotovega predpomnilnika prejemati in do njih dostopati prek tradicionalnega DNS.
- V načinu »izklop« se najprej preveri splošni predpomnilnik in, če ni podatkov, se zahteva pošlje prek sistemskega DNS. Način se nastavi prek nastavitev kDnsOverHttpsMode in predloge za preslikavo strežnika prek kDnsOverHttpsTemplates.
Poskus za omogočanje DoH bo izveden na vseh podprtih platformah v Chromu, z izjemo Linuxa in iOS-a zaradi netrivialne narave analize konfiguracije razreševalnika in omejenega dostopa do konfiguracije sistema DNS.
V primeru, da po omogočanju DoH ne uspe poslati zahtev strežniku DoH (na primer zaradi njegove blokade, okvare ali okvare omrežne povezave), brskalnik samodejno vrne sistemske nastavitve DNS.
Namen eksperimenta je dokončno izvesti DoH in preučiti vpliv DoH aplikacije na učinkovitost.
Treba je opozoriti, da je bila podpora za DoH v resnici dodana v zbirko kod Chrome februarja, toda za konfiguracijo in omogočanje DoH se je moral Chrome zagnati s posebno zastavico in neočitnim naborom možnosti.
To je pomembno vedeti DoH je lahko v pomoč pri odpravi uhajanja informacij o imenih gostiteljev zahteva prek strežnikov DNS ponudnikov, boj proti napadom MITM in nadomestitev prometa DNS (na primer pri povezovanju z javnim Wi-Fi) in nasprotovanje blokiranju na ravni DNS (DoH) ne more nadomestiti VPN na področju izogibanja implementiranim blokom na ravni DPI) ali organizirati dela, če ni mogoče neposredno dostopati na strežnike DNS (na primer pri delu prek strežnika proxy).
Če se v običajnih razmerah poizvedbe DNS pošljejo neposredno na strežnike DNS, opredeljene v sistemski konfiguraciji, je v primeru DoH zahteva za določitev gostiteljskega naslova IP vključena v promet HTTPS in poslana strežniku HTTP, v katerem je razreševalec obdeluje zahteve prek spletnega API-ja.
Obstoječi standard DNSSEC uporablja šifriranje samo za preverjanje pristnosti odjemalca in strežnika.