在Mozilla之后 Google宣布打算进行实验以测试 带有«的Chrome浏览器实施通过HTTPS的DNS» (DoH,基于HTTPS的DNS)。 随着Chrome 78的发布, 定于22月XNUMX日。
默认情况下,某些类别的用户可以参加实验 要启用DoH,只有用户会参与当前的系统配置,某些支持DoH的DNS提供商可以识别此配置。
DNS提供者白名单包括 的服务 Google,Cloudflare,OpenDNS,Quad9,Cleanbrowsing和DNS.SB。 如果用户的DNS设置指定了上述DNS服务器之一,则默认情况下会启用Chrome中的DoH。
对于使用本地Internet服务提供商提供的DNS服务器的服务器,一切将保持不变,并且系统解析将继续用于DNS查询。
与卫生部实施的重要区别 在Firefox中,其中逐渐包含默认的DoH 由于缺少与单个DoH服务的链接,此操作将从XNUMX月底开始。
如果Firefox默认使用CloudFlare DNS服务器,则Chrome只会将使用DNS的方法更新为等效服务,而无需更改DNS提供程序。
如果需要,用户可以启用或禁用DoH 使用“ chrome://标志/#dns-over-https”设置。 更重要的是 支持三种操作模式 “安全”,“自动”和“关闭”。
- 在``安全''模式下,仅根据先前缓存的安全值(通过安全连接接收)确定主机,并通过DoH请求,不应用回滚到普通DNS。
- 在“自动”模式下,如果DoH和安全缓存不可用,则可以从不安全的缓存中接收数据并通过传统DNS进行访问。
- 在“关闭”模式下,首先检查常规缓存,如果没有数据,则通过系统的DNS发送请求。 该模式是通过kDnsOverHttpsMode设置设置的,而服务器映射模板是通过kDnsOverHttpsTemplates设置的。
启用DoH的实验将在Chrome中所有受支持的平台上进行, 除了Linux和iOS之外,由于解析程序配置分析的重要性不高,并且对DNS系统配置的访问受到限制。
如果启用DoH后无法将请求发送到DoH服务器(例如,由于网络连接崩溃,失败或失败),浏览器将自动返回DNS系统设置。
该实验的目的是最终确定DoH实施并检查DoH应用对性能的影响。
应该注意的是,事实上,DoH支持已在XNUMX月份添加到Chrome代码库中,但是要配置和启用DoH,Chrome必须使用特殊标志和一组不明显的选项启动。
重要的是要知道 DoH有助于消除主机名信息泄漏 通过提供商的DNS服务器请求, 抵御MITM攻击并替换DNS流量 (例如,当连接到公共Wi-Fi时),并且相反的DNS级别阻止(DoH)不能在绕过DPI级别的已实现锁的范围内替换VPN),或者在无法直接访问以下地址的情况下组织工作DNS服务器(例如,通过代理工作时)。
如果在正常情况下,DNS查询直接发送到系统配置中定义的DNS服务器,则在DoH的情况下,将确定主机IP地址的请求封装在HTTPS流量中,然后发送到服务器HTTP,解析器通过Web API处理请求。
现有的DNSSEC标准仅将加密用于客户端和服务器身份验证。