Google Chrome
Pagkatapos ng Mozilla, Inanunsyo ng Google ang hangarin nito na magsagawa ng isang eksperimento upang subukan Pagpapatupad ng Chrome browser sa «DNS sa paglipas ng HTTPS » (DoH, DNS sa paglipas ng HTTPS). Sa paglabas ng Chrome 78, nakaiskedyul sa Oktubre 22.
Ang ilang mga kategorya ng mga gumagamit bilang default ay maaaring lumahok sa eksperimento Upang paganahin ang DoH, ang mga gumagamit lamang ang lalahok sa kasalukuyang pagsasaayos ng system, na kinikilala ng ilang mga DNS provider na sumusuporta sa DoH.
Kasama ang whitelist ng provider ng DNS serbisyo ng Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing at DNS.SB. Kung ang mga setting ng DNS ng gumagamit ay tumutukoy sa isa sa mga nasa itaas na DNS server, ang DoH sa Chrome ay paganahin bilang default.
Para sa mga gumagamit ng mga DNS server na ibinigay ng lokal na service provider ng Internet, mananatiling hindi nagbabago ang lahat at ang resolusyon ng system ay patuloy na gagamitin para sa mga query sa DNS.
Isang mahalagang pagkakaiba mula sa pagpapatupad ng DoH sa Firefox, kung saan ang unti-unting pagsasama ng default na DoH ay magsisimula sa pagtatapos ng Setyembre, ito ay ang kakulangan ng pag-link sa isang solong serbisyo ng DoH.
Kung ginagamit ng Firefox ang CloudFlare DNS server bilang default, i-a-update lamang ng Chrome ang pamamaraan ng pagtatrabaho sa DNS sa isang katumbas na serbisyo, nang hindi binabago ang DNS provider.
Kung nais, ang gumagamit ay maaaring paganahin o huwag paganahin ang DoH gamit ang setting na "chrome: // flags / # dns-over-https". Ano pa sinusuportahan ang tatlong mga mode ng pagpapatakbo "Ligtas", "awtomatiko" at "off".
- Sa "ligtas" na mode, ang mga host ay natutukoy batay lamang sa dating naka-cache na mga halagang ligtas (natanggap sa isang ligtas na koneksyon) at mga kahilingan sa DoH, ang pag-rollback sa normal na DNS ay hindi inilapat.
- Sa "awtomatikong" mode, kung ang DoH at ang ligtas na cache ay hindi magagamit, posible na makatanggap ng data mula sa isang hindi secure na cache at mai-access ito sa pamamagitan ng tradisyunal na DNS.
- Sa "off" mode, ang pangkalahatang cache ay naka-check muna, at kung walang data, ang kahilingan ay ipinadala sa pamamagitan ng DNS ng system. Ang mode ay itinakda sa pamamagitan ng mga setting ng kDnsOverHttpsMode at ang template ng pagmamapa ng server sa pamamagitan ng kDnsOverHttpsTemplates.
Ang eksperimento upang paganahin ang DoH ay isasagawa sa lahat ng mga sinusuportahang platform sa Chrome, maliban sa Linux at iOS, dahil sa di-walang halaga na katangian ng pagtatasa ng pagsasaayos ng resolver at limitadong pag-access sa pagsasaayos ng system ng DNS.
Sa kaganapan na pagkatapos paganahin ang DoH may mga pagkabigo na magpadala ng mga kahilingan sa server ng DoH (halimbawa, dahil sa pag-block, pagkabigo o pagkabigo ng pagkakakonekta ng network), awtomatikong ibabalik ng browser ang mga setting ng system ng DNS.
Ang layunin ng eksperimento ay upang tapusin ang pagpapatupad ng DoH at suriin ang epekto ng aplikasyon ng DoH sa pagganap.
Dapat pansinin na, sa katunayan, ang suporta ng DoH ay naidagdag sa codebase ng Chrome noong Pebrero, ngunit upang mai-configure at paganahin ang DoH, kinailangan ng paglunsad ng Chrome ng isang espesyal na watawat at isang hindi halatang hanay ng mga pagpipilian.
Mahalagang malaman iyon Ang DoH ay maaaring maging kapaki-pakinabang sa pag-aalis ng mga paglabas ng impormasyon ng hostname hiniling sa pamamagitan ng mga DNS server ng mga nagbibigay, labanan ang mga pag-atake ng MITM at palitan ang trapiko ng DNS (halimbawa, kapag kumokonekta sa pampublikong Wi-Fi) at ang laban sa pagharang sa antas ng DNS (DoH) ay hindi maaaring palitan ang isang VPN sa lugar ng pag-bypass ng ipinatupad na mga kandado sa antas ng DPI) o upang ayusin ang trabaho kung imposibleng direktang ma-access ang Mga DNS server (halimbawa, kapag nagtatrabaho sa pamamagitan ng isang proxy).
Kung sa mga normal na sitwasyon, ang mga query ng DNS ay direktang ipinadala sa mga DNS server na tinukoy sa pagsasaayos ng system, pagkatapos sa kaso ng DoH, ang kahilingan upang matukoy ang IP address ng host ay naka-encapsulate sa trapiko ng HTTPS at ipinadala sa server HTTP kung saan ang pinoproseso ng resolver ang mga kahilingan sa pamamagitan ng web API.
Ang kasalukuyang pamantayan sa DNSSEC ay gumagamit lamang ng pag-encrypt para sa pagpapatotoo ng client at server.