Google Chrome
Efter Mozilla, Google meddelade sin avsikt att genomföra ett experiment för att testa Chrome-webbläsarimplementering med «DNS över HTTPS » (DoH, DNS via HTTPS). Med lanseringen av Chrome 78, planerad till 22 oktober.
Vissa kategorier av användare kan som standard delta i experimentet För att aktivera DoH kommer endast användare att delta i den aktuella systemkonfigurationen, vilket känns igen av vissa DNS-leverantörer som stöder DoH.
DNS-leverantörens vitlista inkluderar tjänster av Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing och DNS.SB. Om användarens DNS-inställningar anger en av ovanstående DNS-servrar är DoH i Chrome aktiverat som standard.
För de som använder DNS-servrarna som tillhandahålls av den lokala Internet-leverantören kommer allt att vara oförändrat och systemupplösningen fortsätter att användas för DNS-frågor.
En viktig skillnad från DoH-implementering i Firefox, där den gradvisa införandet av standard-DoH kommer att börja i slutet av september är det bristen på länkning till en enda DoH-tjänst.
Om Firefox använder CloudFlare DNS-servern som standard uppdaterar Chrome bara metoden för att arbeta med DNS till en motsvarande tjänst utan att ändra DNS-leverantören.
Om så önskas kan användaren aktivera eller inaktivera DoH med inställningen "chrome: // flags / # dns-over-https". Vad mer tre driftsätt stöds "Säker", "automatisk" och "av".
- I "säkert" läge bestäms värdar endast baserat på tidigare cachade säkra värden (mottagna via en säker anslutning) och förfrågningar via DoH, återställning till normal DNS tillämpas inte.
- I "automatiskt" läge, om DoH och den säkra cachen inte är tillgängliga, är det möjligt att ta emot data från en osäker cache och komma åt den via traditionell DNS.
- I "av" -läge kontrolleras den allmänna cachen först och om det inte finns någon data skickas begäran via systemets DNS. Läget ställs in via kDnsOverHttpsMode-inställningar och servern mappmallen genom kDnsOverHttpsTemplates.
Experimentet för att aktivera DoH kommer att genomföras på alla stödda plattformar i Chrome, med undantag för Linux och iOS, på grund av att lösningskonfigurationsanalysen inte är trivial och begränsad åtkomst till DNS-systemkonfigurationen.
I händelse av att misslyckanden med att skicka förfrågningar till DoH-servern (till exempel på grund av blockering, fel eller nätverksanslutningsfel) efter att ha aktiverat DoH returnerar webbläsaren automatiskt DNS-systeminställningarna.
Syftet med experimentet är att slutföra DoH-implementeringen och undersöka effekterna av DoH-applikationen på prestanda.
Det bör noteras att i själva verket lades DoH-stöd till Chrome-kodbasen i februari, men för att konfigurera och aktivera DoH, var Chrome tvungen att starta med en speciell flagga och en icke uppenbar uppsättning alternativ.
Det är viktigt att veta det DoH kan vara till hjälp för att eliminera värdlägesinformation begärs via leverantörernas DNS-servrar, bekämpa MITM-attacker och ersätt DNS-trafik (till exempel när du ansluter till offentligt Wi-Fi) och motsätter sig DNS-nivåblockering (DoH) kan inte ersätta en VPN inom området kringgå implementerade lås på DPI-nivå) eller att organisera arbete om det är omöjligt att komma åt direkt till DNS-servrar (till exempel när du arbetar genom en proxy).
Om i normala situationer skickas DNS-frågor direkt till DNS-servrarna som definieras i systemkonfigurationen, då i fallet med DoH inkapslas begäran om att bestämma värdens IP-adress i HTTPS-trafiken och skickas till servern HTTP där resolver behandlar förfrågningar via webb-API.
Den befintliga DNSSEC-standarden använder endast kryptering för klient- och serverautentisering.