在Mozilla之後 Google宣布打算進行實驗以測試 帶有«的Chrome瀏覽器實施通過HTTPS的DNS» (DoH,基於HTTPS的DNS)。 隨著Chrome 78的發布, 定於22月XNUMX日。
默認情況下,某些類別的用戶可以參加實驗 要啟用DoH,只有用戶會參與當前的系統配置,某些支持DoH的DNS提供商可以識別此配置。
DNS提供者白名單包括 的服務 Google,Cloudflare,OpenDNS,Quad9,Cleanbrowsing和DNS.SB。 如果用戶的DNS設置指定上述DNS服務器之一,則默認情況下會啟用Chrome中的DoH。
對於使用本地Internet服務提供商提供的DNS服務器的服務器,一切將保持不變,並且系統解析將繼續用於DNS查詢。
與衛生部實施的重要區別 在Firefox中,其中逐漸包含默認的DoH 將從XNUMX月底開始,這是因為缺少與單個DoH服務的鏈接。
如果Firefox默認使用CloudFlare DNS服務器,則Chrome只會將使用DNS的方法更新為等效服務,而無需更改DNS提供程序。
如果需要,用戶可以啟用或禁用DoH 使用“ chrome://標誌/#dns-over-https”設置。 更重要的是 支持三種操作模式 “安全”,“自動”和“關閉”。
- 在``安全''模式下,僅根據先前緩存的安全值(通過安全連接接收)確定主機,並通過DoH請求,不應用回滾到普通DNS。
- 在“自動”模式下,如果DoH和安全緩存不可用,則可以從不安全的緩存中接收數據並通過傳統的DNS訪問它。
- 在“關閉”模式下,首先檢查常規緩存,如果沒有數據,則通過系統的DNS發送請求。 該模式是通過kDnsOverHttpsMode設置設置的,而服務器映射模板是通過kDnsOverHttpsTemplates設置的。
啟用DoH的實驗將在Chrome中所有受支持的平台上進行, 除了Linux和iOS之外,由於解析程序配置分析的重要性不高,並且對DNS系統配置的訪問受到限制。
如果啟用DoH後無法發送請求到DoH服務器(例如,由於其阻塞,失敗或網絡連接失敗),瀏覽器將自動返回DNS系統設置。
該實驗的目的是最終確定DoH實施並檢查DoH應用對性能的影響。
應該注意的是,事實上,DoH支持已在XNUMX月添加到Chrome代碼庫中,但要配置和啟用DoH,Chrome必須使用特殊標誌和一組不明顯的選項啟動。
重要的是要知道這一點 DoH有助於消除主機名信息洩漏 通過提供商的DNS服務器請求, 抵禦MITM攻擊並替換DNS流量 (例如,當連接到公共Wi-Fi時),並且相反的DNS級別阻止(DoH)無法在DPI級別繞過已實現的鎖的區域中替換VPN),或者在無法直接訪問以下地址的情況下組織工作DNS服務器(例如,通過代理工作時)。
如果在正常情況下,DNS查詢直接發送到系統配置中定義的DNS服務器,那麼在DoH的情況下,確定主機IP地址的請求將封裝在HTTPS流量中,然後發送到服務器HTTP,解析器通過Web API處理請求。
現有的DNSSEC標準僅將加密用於客戶端和服務器身份驗證。