В Chrome 78 начнутся эксперименты с включением DNS-over-HTTPS
Следом за Mozilla компания Google сообщила о намерении провести эксперимент для проверки развиваемой для браузера Chrome реализации «DNS поверх HTTPS» (DoH, DNS over HTTPS). В выпуске Chrome 78, намеченном на 22 октября, некоторые категории пользователей будут по умолчанию переведены на использование DoH. В эксперименте по включению DoH примут участие только пользователи, в текущих системных настойках которых указаны определённые DNS-провайдеры, признанные совместимыми с DoH.
В белый список DNS-провайдеров включены сервисы Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (08.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Cleanbrowsing (185.228.168.168, 185.228.169.168) и DNS.SB (185.222.222.222, 185.184.222.222). Если в настойках DNS у пользователя будет указан один из вышеупомянутых DNS-серверов, DoH в Chrome будет активирован по умолчанию. Для тех, кто использует предоставленные локальным интернет-провайдером DNS-серверы всё останется без изменений и для запросов DNS продолжит использоваться системный резолвер. При желании пользователь сможет включить или отключить DoH при помощи настройки «chrome://flags/#dns-over-https».
Важным отличием от внедрения DoH в Firefox, в котором поэтапное включение по умолчанию DoH начнётся уже в конце сентября, является отсутствие привязки к одному сервису DoH. Если в Firefox по умолчанию используется DNS-сервер CloudFlare, то в Chrome будет лишь произведено обновление метода работы с DNS на эквивалентный сервис, без смены DNS-провайдера. Например, если у пользователя в системных настройках указан DNS 8.8.8.8, то в Chrome будет активирован DoH-сервис Google («https://dns.google.com/dns-query»), если DNS — 1.1.1.1, то DoH сервис Cloudflare («https://9.9.9.9/dns-query») и т.п.
Эксперимент по включению DoH будет проведён на всех поддерживаемых в Chrome платформах, за исключением Linux и iOS из-за нетривиальности разбора настроек резолвера и ограничения доступа к системным настройкам DNS. Целью проведения эксперимента является финальная проверка реализации DoH и изучение влияния применения DoH на производительность. Следует отметить, что фактически поддержка DoH была добавлена в кодовую базу Chrome ещё в феврале, но для настройки и включения DoH требовался запуск Chrome со специальным флагом и неочевидным набором опций.
Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Вопреки слухам, растиражированным некоторыми СМИ, DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI. Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
© OpenNet