Тестирование DNS-over-HTTPS в Chrome от Google

Автор: Берегиня
13 сентября 2019 г.
Тестирование DNS-over-HTTPS в Chrome от Google

В октябре нынешнего года Google начнет тестировать протокол DNS-over-HTTPS (DoH) с релизом Chrome 78. Несколько дней назад появилась информация о том, что скоро поддержку DoH включат в Firefox для американских пользователей, по умолчанию.

Весь смысл нового протокола отражен в его наименовании. DNS-запросы он отправляет на специальные DoH-совместимые DNS-сервисы. Это осуществляется через зашифрованное подсоединение HTTPS. Незашифрованные классические UDP-запросы не используются. Ретрансляция зашифрованных DoH-запросов поддерживается Firefox по умолчанию. Это делается через резолвер Cloudflare, но у пользователей есть возможность сменить его на любой другой. Работа DoH идет на уровне приложений, а не на ОС. То есть, скрываются DNS-запросы в потоке HTTPS-данных.

В результате DNS-запросы становятся «невидимыми» для сторонних наблюдателей (интернет-провадеров, локальных решений для родительского контроля, антивирусного ПО, корпоративных брандмауэров и прочих). Коммуникации DoH DNS отличить практически невозможно от другого HTTPS-трафика.

Во внедрении DoH в свой браузер Google отстал от Mozilla. Дело в том, что внедрением DoH в Chrome стали заниматься лишь в мае 2019 года, а Mozilla начала заниматься тестированием с 2017 года. Разработчиками Google первый публичный тест запланирован на октябрь. В это время выйдет в свет Chrome 78.

Для Chrome 78 предусмотрено автоматическое переключение на использование DoH при соблюдении ряда условий. К примеру, когда пользователем используются обычные DNS-серверы определенных компаний, имеющих альтернативные резолверы, которые совмещаются с DoH, Chrome направит DNS-запросы этим DoH-совместимым резолверами. Это будет сделано вместо привычных DNS-серверов. Переключение на DoH вместо обычного DNS будет выполнено лишь для нескольких DNS-провайдеров. Это, в том числе, Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS и Quad9.

Включенных в этот список поставщиков отбирали, учитывая их сильную позицию в конфиденциальности и безопасности, которая гарантируется их DoH-сервисам. Учитывалось и их согласия участвовать в эксперименте. Как уточняют разработчики Google, эксперимент будет проходить на всех поддерживаемых платформах, кроме Linux и iOS, для незначительной части пользователей Chrome.

Пользователей, использующих не вошедших в список DNS-провайдеров, эксперимент не затронет. В случае сбоя, при котором резолвер DoH не будет отвечать, произойдет автоматическое переключение Chrome на обычный DNS.

Как раз в этом и заключено основное отличие подхода Google от подхода Mozilla. В Firefox зашифрованные DoH-запросы автоматически ретранслируются через резолвер Cloudflare. При этом у пользователей есть возможность менять его на любой другой (из-за использования Cloudflare по умолчанию Mozilla уже подверглась критике). При этом Google предлагает DoH-резолверы своих партнеров, провайдеров DNS. Если используется DoH от тех же поставщиков, то это способствует решать проблемы фильтрации трафика. При этом DNS-фильтры и родительский контроль, которые установлены на уровне провайдера DNS, будут оставаться без изменений при переключении на DoH-резолвер от того же поставщика.

Не желающие участвовать в предстоящем эксперименте могут использовать DNS-провайдера, отсутствовать в приведенном выше списке. Можно просто отключить DoH в настройках через chrome://flags/#dns-over-https.

Источник: Google

0 из 5 (0 голосов)