Chrome 83: Начинается развертывание DNS over HTTPS (Secure DNS)

2020-05-20 4917 комментарии
19 мая 2020 года состоялся публичный релиз Chrome 83, в котором появилась поддержка защищенного протокола передачи DNS-запросов: DNS over HTTPS (DoH)

Google называет данную функцию «Безопасный DNS-сервер». По умолчанию DNS-запросы передаются в незашифрованном виде, что открывает посторонним лицам возможности для отслеживания сетевых предпочтений и манипулирования DNS-трафиком, например при организации фишинг-атак.

Технология DNS over HTTPS позволяет решить данную проблему за счет шифрования DNS-запросов. Для повышения безопасности и приватности используется защищенный протокол HTTPS. Когда вы используете DoH, ваши DNS-запросы уже не могут отслеживаться третьими лицами, и не могут быть модифицированы злоумышленниками.

Примечание: Недавно в инсайдерских сборках Windows 10 появилась поддержка DNS over HTTPS на системном уровне. Это означает, что все приложения, получающие доступ в сеть, смогут воспользоваться преимуществами DoH.

Компания Google приняла решение реализовать общедоступную поддержку DNS over HTTPS в Chrome 83. Разработчики посчитали, что данное изменение не помешает существующей системной конфигурации DNS. По умолчанию браузер будет использовать DNS over HTTPS для провайдера DNS, установленного в систему, при условии, что он поддерживает этот протокол.

Другими словами, системные настройки DNS не изменятся. Еще одним преимуществом этого подхода является то, фильтрация взрослого контента или вредоносного ПО на уровне DNS останется активной.

Chrome переключится на обычный (незашифрованный) DNS, если во время поиска будут обнаружены проблемы. Браузер не будет использовать безопасный DNS вообще, если в системах Windows активен родительский контроль или если установлены определенные корпоративные политики. Представлены новые политики для включения DNS over HTTPS в управляемых средах.

Доступны две основные политики:

DnsOverHttpsMode – Настроить режим использования протокола DNS поверх HTTPS (Chrome 78 и выше)

off = Отключить DNS поверх HTTPS

automatic = Включить DNS поверх HTTPS с возможностью отката к незащищенным запросам

secure = Включить DNS поверх HTTPS без возможности отката к незащищенным запросам

DnsOverHttpsTemplates – Указать шаблон URI нужного преобразователя DNS поверх HTTPS (Chrome 80 и выше).

Шаблон URI нужного преобразователя DNS поверх HTTPS. Чтобы указать несколько преобразователей DNS поверх HTTPS, разделите соответствующие шаблоны URI пробелами.

Это правило должно быть настроено (его нельзя оставлять пустым), если для правила DnsOverHttpsMode задано значение “secure”.

Если это правило настроено и для правила DnsOverHttpsMode выбрано значение “automatic”, то будут использоваться указанные шаблоны URI. Если правило не настроено, то будут использованы жестко заданные в программе сопоставления, чтобы попытаться повысить уровень текущего преобразователя DNS до преобразователя DNS поверх HTTPS от того же поставщика услуг DNS.

Если шаблон URI содержит переменную dns, то для отправки запросов преобразователю будет использован метод GET, в противном случае – метод POST.

Пользователи Chrome смогут включить DNS over HTTPS, когда данная функция появится в браузере. Внедрение функциональности на отдельных устройствах может занять несколько недель или даже месяцев.

Если вы не хотите ждать так долго, то можете принудительно включить данную функцию следующим способом:

  • Загрузите внутреннюю страницу chrome://flags/#dns-over-https
  • Установите для параметра Secure DNS lookups значение Enabled
  • Перезапустите Chrome

Google Chrome

Обратите внимание, что вам может потребоваться изменить DNS-серверы на устройстве, так как они должны поддерживать DoH. Google Public DNS, Cloudflare, Quad9 и Comss.one DNS поддерживают DNS over HTTPS.

Google планирует представить улучшенную страницу с настройками безопасности в браузере. На данный момент обновленная страница настроек отсутствует в Chrome 83 Stable. Она будет доступна по адресу chrome://settings/security. Там вы найдете новую опцию «Использовать безопасный DNS-сервер».

Поддержка DNS-over-HTTPS

Если вы не хотите использовать DNS over HTTPS, то сможете отключить функцию в браузере, когда она станет доступна.

Также Google добавит поддержку различных DNS-провайдеров. Это упростит жизнь пользователям, которые сталкиваются с проблемами при настройке DNS на сетевом уровне.

По словам Google, функция «безопасный DNS-сервер» со временем будет доступна в Chrome OS, Windows и Mac OS. В скором временем поддержку DoH получат версии Chrome для Linux и Android.

А вы используете DNS over HTTPS в вашей системе?

© . По материалам Chromium Blog

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?