Google Chrome
Після Mozilla, Google оголосив про намір провести експеримент для тестування Впровадження браузера Chrome з «DNS через HTTPS » (DoH, DNS через HTTPS). З виходом Chrome 78, запланований на 22 жовтня.
Деякі категорії користувачів за замовчуванням зможуть взяти участь в експерименті Щоб увімкнути DoH, лише користувачі будуть брати участь у поточній конфігурації системи, яку визнають певні постачальники DNS, які підтримують DoH.
Білий список постачальника DNS включає послуги Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing та DNS.SB. Якщо в налаштуваннях DNS користувача вказаний один із вищезазначених серверів DNS, DoH у Chrome буде ввімкнено за замовчуванням.
Для тих, хто використовує DNS-сервери, надані місцевим постачальником послуг Інтернету, все залишиться незмінним, а системна роздільна здатність і надалі використовуватиметься для запитів DNS.
Важлива відмінність від впровадження DoH у Firefox, в якому поступове включення DoH за замовчуванням розпочнеться наприкінці вересня, це відсутність прив’язки до єдиної служби DoH.
Якщо Firefox використовує сервер CloudFlare DNS за замовчуванням, Chrome лише оновить метод роботи з DNS до еквівалентної служби, не змінюючи постачальника DNS.
При бажанні користувач може ввімкнути або вимкнути DoH за допомогою параметра "chrome: // flags / # dns-over-https". Що ще підтримуються три режими роботи "Безпечно", "автоматично" та "вимкнено".
- У "безпечному" режимі хости визначаються лише на основі раніше кешованих безпечних значень (отриманих через захищене з'єднання) та запитів через DoH, відкат до звичайного DNS не застосовується.
- У "автоматичному" режимі, якщо DoH та захищений кеш недоступні, можна отримувати дані з незахищеного кешу та отримувати доступ до них через традиційний DNS.
- У режимі "вимкнено" спочатку перевіряється загальний кеш, а якщо даних немає, запит надсилається через системний DNS. Режим встановлюється через налаштування kDnsOverHttpsMode та шаблон відображення сервера через kDnsOverHttpsTemplates.
Експеримент з увімкненням DoH буде проведений на всіх підтримуваних платформах Chrome, за винятком Linux та iOS, через нетривіальний характер аналізу конфігурації резольвера та обмежений доступ до конфігурації системи DNS.
У випадку, якщо після ввімкнення DoH не вдається надіслати запити на сервер DoH (наприклад, через його блокування, збій або збій з мережевим підключенням), браузер автоматично поверне налаштування системи DNS.
Мета експерименту - завершити впровадження DoH та вивчити вплив програми DoH на продуктивність.
Слід зазначити, що насправді підтримка DoH була додана до кодової бази Chrome у лютому, але для налаштування та ввімкнення DoH Chrome повинен був запуститись із спеціальним прапором та неочевидним набором опцій.
Важливо це знати DoH може бути корисним для усунення витоків інформації про ім'я хосту запитується через DNS-сервери постачальників, боротися з атаками MITM і замінити трафік DNS (наприклад, при підключенні до загальнодоступного Wi-Fi) і протидія блокуванню на рівні DNS (DoH) не може замінити VPN в області уникнення реалізованих блоків на рівні DPI) або організувати роботу, якщо неможливий прямий доступ на DNS-сервери (наприклад, при роботі через проксі-сервер).
Якщо в звичайних ситуаціях запити DNS надсилаються безпосередньо на DNS-сервери, визначені в конфігурації системи, то у випадку DoH запит на визначення IP-адреси хоста інкапсулюється в трафік HTTPS і надсилається на HTTP-сервер, в якому вирішувач обробляє запити через веб-API.
Існуючий стандарт DNSSEC використовує шифрування лише для автентифікації клієнта та сервера.