Google Chrome
Sau Mozilla, Google thông báo ý định tiến hành một cuộc thử nghiệm để kiểm tra Triển khai trình duyệt Chrome với «DNS qua HTTPS » (DoH, DNS qua HTTPS). Với việc phát hành Chrome 78, dự kiến vào ngày 22 tháng XNUMX.
Một số danh mục người dùng theo mặc định sẽ có thể tham gia thử nghiệm Để kích hoạt DoH, chỉ người dùng mới tham gia vào cấu hình hệ thống hiện tại, được công nhận bởi một số nhà cung cấp DNS hỗ trợ DoH.
Danh sách trắng của nhà cung cấp DNS bao gồm dịch vụ của Google, Cloudflare, OpenDNS, Quad9, Cleanbrowsing và DNS.SB. Nếu cài đặt DNS của người dùng chỉ định một trong các máy chủ DNS ở trên, thì DoH trong Chrome sẽ được bật theo mặc định.
Đối với những người sử dụng máy chủ DNS do nhà cung cấp dịch vụ Internet cục bộ cung cấp, mọi thứ sẽ không thay đổi và độ phân giải hệ thống sẽ tiếp tục được sử dụng cho các truy vấn DNS.
Một điểm khác biệt quan trọng so với việc triển khai DoH trong Firefox, trong đó dần dần bao gồm DoH mặc định sẽ bắt đầu vào cuối tháng XNUMX, đó là việc thiếu liên kết với một dịch vụ DoH duy nhất.
Nếu Firefox sử dụng máy chủ CloudFlare DNS theo mặc định, Chrome sẽ chỉ cập nhật phương thức làm việc với DNS lên một dịch vụ tương đương mà không thay đổi nhà cung cấp DNS.
Nếu muốn, người dùng có thể bật hoặc tắt DoH bằng cách sử dụng cài đặt "chrome: // flags / # dns-over-https". Còn gì nữa ba chế độ hoạt động được hỗ trợ "An toàn", "tự động" và "tắt".
- Ở chế độ "an toàn", máy chủ chỉ được xác định dựa trên các giá trị an toàn đã lưu trong bộ nhớ cache trước đó (nhận được qua kết nối an toàn) và các yêu cầu qua DoH, việc khôi phục về DNS thông thường không được áp dụng.
- Ở chế độ "tự động", nếu DoH và bộ đệm an toàn không khả dụng, có thể nhận dữ liệu từ bộ đệm không an toàn và truy cập nó thông qua DNS truyền thống.
- Ở chế độ "tắt", bộ nhớ cache chung sẽ được kiểm tra trước tiên và nếu không có dữ liệu, yêu cầu sẽ được gửi qua DNS của hệ thống. Chế độ được đặt thông qua cài đặt kDnsOverHttpsMode và mẫu ánh xạ máy chủ thông qua kDnsOverHttpsTemplates.
Thử nghiệm để kích hoạt DoH sẽ được thực hiện trên tất cả các nền tảng được hỗ trợ trong Chrome, ngoại trừ Linux và iOS, do tính chất không tầm thường của phân tích cấu hình trình phân giải và quyền truy cập hạn chế vào cấu hình hệ thống DNS.
Trong trường hợp sau khi bật DoH mà không gửi được yêu cầu đến máy chủ DoH (ví dụ: do bị chặn, bị lỗi hoặc lỗi kết nối mạng), trình duyệt sẽ tự động trả về cài đặt hệ thống DNS.
Mục đích của thử nghiệm là hoàn thiện việc thực hiện DoH và kiểm tra tác động của ứng dụng DoH đối với hiệu suất.
Cần lưu ý rằng, trên thực tế, hỗ trợ DoH đã được thêm vào cơ sở mã Chrome vào tháng XNUMX, nhưng để định cấu hình và kích hoạt DoH, Chrome phải khởi chạy với một cờ đặc biệt và một bộ tùy chọn không rõ ràng.
Điều quan trọng là phải biết rằng DoH có thể hữu ích trong việc loại bỏ rò rỉ thông tin tên máy chủ được yêu cầu thông qua máy chủ DNS của các nhà cung cấp, chống lại các cuộc tấn công MITM và thay thế lưu lượng DNS (ví dụ: khi kết nối với Wi-Fi công cộng) và chặn mức DNS đối lập (DoH) không thể thay thế VPN trong lĩnh vực bỏ qua các khóa được triển khai ở cấp DPI) hoặc để tổ chức công việc nếu không thể truy cập trực tiếp vào Máy chủ DNS (ví dụ: khi làm việc thông qua proxy).
Nếu trong các tình huống bình thường, các truy vấn DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống, thì trong trường hợp DoH, yêu cầu xác định địa chỉ IP của máy chủ được gói gọn trong lưu lượng HTTPS và được gửi đến máy chủ HTTP trong đó trình phân giải xử lý các yêu cầu thông qua API web.
Tiêu chuẩn DNSSEC hiện có chỉ sử dụng mã hóa để xác thực máy khách và máy chủ.