Google протестирует DNS-over-HTTPS в Chrome

С релизом Chrome 78, который запланирован на октябрь текущего года, Google начнет тестирование протокола DNS-over-HTTPS (DoH). Напомню, что ранее на этой неделе стало известно, что совсем скоро поддержка DoH будет включена в Firefox по умолчанию для американских пользователей.

Как мы уже не раз писали, вся суть нового протокола отражена в его названии: он отправляет DNS-запросы на специальные DoH-совместимые DNS-серверы через зашифрованное соединение HTTPS, но не использует классические незашифрованные UDP-запросы. По умолчанию Firefox поддерживает ретрансляцию зашифрованных DoH-запросов через резолвер Cloudflare, но пользователи могут изменить его на любой другой. Кроме того, DoH работает на уровне приложений, а не на уровне ОС. По сути, он скрывает DNS-запросы внутри обычного потока HTTPS-данных.

В итоге запросы DNS оказываются «невидимы» для сторонних наблюдателей (таких как интернет-провайдеры, локальные решения для родительского контроля, антивирусное ПО, корпоративные брандмауэры и так далее) и коммуникации DoH DNS практически неотличимы от другого HTTPS-трафика.

В вопросах внедрения DoH в свой браузер Google отстает от коллег из Mozilla, так как работа по внедрению DoH в Chrome началась только в мае текущего года (тогда как Mozilla занималась тестированием с 2017 года). Первый публичный тест разработчики Google запланировали октябрь, когда в свет выйдет Chrome 78.

Chrome 78 автоматически переключится на использование DoH, когда будут соблюдены определенные условия. Так, если пользователь использует обычные DNS-серверы определенных компаний, которые имеют альтернативные резолверы, совместимые с DoH,  Chrome будет направлять DNS-запросы этим DoH-совместимым резолверами, вместо обычных DNS-серверов. Сообщается, что переключение на DoH вместо обычного DNS произойдет только для нескольких DNS-провайдеров, в числе которых значатся Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS и Quad9.

«Включенные в данный список поставщики были отобраны за их сильную позицию в отношении конфиденциальности и безопасности, благодаря их DoH-сервисам и согласию участвовать в эксперименте, — объявляют разработчики Google. — Наш эксперимент будет проводиться на всех поддерживаемых платформах (за исключением Linux и iOS) для небольшой части пользователей Chrome».

Сообщается, что эксперимент не затронет пользователей, которые используют DNS-провайдеров, не вошедших в список. Кроме того, если произошел сбой и резолвер DoH не отвечает, Chrome автоматически переключится на использование обычного DNS.

В этом заключается основное отличие подхода Google от подхода Mozilla. Так, в Firefox ретрансляция зашифрованных DoH-запросов автоматически осуществляется через резолвер Cloudflare, но пользователи могут изменить его на любой другой (из-за использования Cloudflare по умолчанию Mozilla уже подверглась критике). Google, в свою очередь, предлагает DoH-резолверы своих партнеров, провайдеров DNS. Интересно, что использование DoH от тех же поставщиков помогает решить проблему фильтрации трафика. Так, в данном случае DNS-фильтры и родительский контроль, установленные на уровне провайдера DNS, останутся без изменений, когда произойдет переключение на DoH-резолвер того же поставщика.

Те, кто не хочет принимать участие в грядущем эксперименте Google, могут просто использовать DNS-провайдера, которого нет в вышеупомянутом списке (что и делает большинство пользователей Chrome), или же можно отключить DoH в настройках через chrome://flags/#dns-over-https.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)