chrome/chromium添加 DNS-over-HTTPS 试验(DoH)

原文链接：https://blog.chromium.org/2019/09/experimenting-with-same-provider-dns.html

      一直以来我们努力使我们的上网更加安全，我们将在开展添加 DNS-over-HTTPS(简称DoH)的试验以用于在chrome78中。如题所示，当我们的浏览器访问一个指定服务器提供的网站时，这个试验功能可以让https到dns的key更加安全以及我们的访问更具有隐私性。譬如，当我们链接一个公共wifi时，DoH会防止其他连接该wifi的用户获取你的上网信息，同时保护潜在的DNS欺骗攻击和域欺骗攻击。这次试验将由已经支持DoH的DNS提供者，以及由为了更加安全和隐私er升级而到具备DoH的DNS服务的所有用户共同完成。我们只需要改变协议，而不需要改变DNS服务的使用。最终，已经存在的DNS组件(包括为了包括儿童的组件)将持续有效。

      同时，通过该试验在chrome78中会检查用户的当前DNS提供商是否在DoH提供商列表中，并且为提供商升级到有效的DoH服务。如果DNS服务商不在列表中，chrome也会正常运行。被选中出现在列表中的提供商是因为具有更好的安全性和隐私性，计划提供DoH服务，以及同意参加这个试验。这个试验的目的是为了验证功能以及评估对性能的影响。

      针对一小部分用户，这个试验将会支持除了Linux和IOS以外的所有平台。在安卓9和9以上，如果用户有一个指定由私人提供的的DNS-over-TLS提供商，chrome将会使用专用的DoH，并且在出现error时返回到系统私有的DNS中。

      通过保持DNS提供商不变以及仅仅升级提供商提供的DoH服务，用户的使用体验保持不变。譬如，该升级不会影响DNS提供商提供的恶意保护软件和家长控制软件的正常使用。如果DoH服务失败，chrome将会通知对应的DNS服务。在chrome78访问chrome://flags/#dns-over-https ，可以关闭DoH试验。

      该试验不支持绝大部分chrome自动化部署。对于企业和教育机构的管理人员，欢迎在谷歌企业博客(https://cloud.google.com/blog/products/chrome-enterprise)上阅读关于DoH策略的正式版的详细说明。

      DNS已经有35年的历史，并由多方使用，且支持多种使用方式。我们特别意识到，DNS在互联网提供的家庭安全内容过滤方面承担多么重要的角色。因此。我们将会采用循序渐进的方式，在重视譬如家庭友好过滤的用户活动特征下，一步步与利益相关方进行讨论(譬如互联网提供商，DNS提供商以及具有安全知识的线上组织)。我们同时也会参考勾选同意帮助改进Chrome的功能和性能(help improve Chrome’s features and performance)的用户发来的性能和可靠性统计数据，以及还有用户反馈(user feedback)。

      这个试验是提升隐私，安全和保险的漫漫长路上的第一步，我们已经迫不及待的想要看DoH在线上的效果，欢迎大家反馈。