Cách bật DNS-Over-HTTPs (DoH) trên Google Chrome

Vào tháng 7 năm 2018, Google bắt đầu đánh dấu các trang web không phải HTTPS là "không an toàn" trong trình duyệt Chrome. Có nghĩa là nếu bạn mở một trang web không hỗ trợ HTTPS bên phải hộp, bạn sẽ thấy cảnh báo “Không an toàn” với hình tam giác màu đỏ trong hộp URL. Điều này đảm bảo không ai, kể cả ISP của bạn, biết bạn đang duyệt gì. Tuy nhiên, các truy vấn DNS đã bị bỏ lại phía sau và cho đến khi DNS-over-HTTPS được giới thiệu vào tháng 10 năm 2018. Đã một năm trôi qua và những gã khổng lồ công nghệ lớn như Google, Microsoft, Mozilla đã thử nghiệm DoH để tích hợp vào sản phẩm của họ.

DoH là gì?

DNS-over-HTTPS (DoH) đảm bảo rằng các truy vấn DNS của bạn được gửi qua HTTPS. Điều này đơn giản có nghĩa là URL được nhập vào thanh địa chỉ của trình duyệt của bạn sẽ được gửi ở định dạng được mã hóa. Trước đây, bất kỳ tên hoặc URL DNS nào bạn nhập vào thanh địa chỉ của trình duyệt đều được gửi đến máy chủ DNS ở dạng văn bản thuần túy. Điều này giúp ISP của bạn và các trình dò tìm mạng dễ dàng xác định các trang web bạn đang truy cập. Dữ liệu mà bạn gửi đến các trang web này vẫn được mã hóa, tuy nhiên, các truy vấn DNS thì không.

Ví dụ: nếu bạn đang cuộn Facebook.com và truy cập một số hồ sơ Facebook nhất định, ISP hoặc các mạng công cộng của bạn không thể xác định rằng các hồ sơ bạn đang truy cập. Tuy nhiên, họ vẫn có thể phát hiện ra rằng bạn đang truy cập Facebook.com vì các truy vấn tìm kiếm DNS ở dạng văn bản thuần túy. Tuy nhiên, giờ đây với DNS qua HTTP, ISP của bạn không thể phát hiện ra rằng bạn đang mở Facebook.com

Làm thế nào để kích hoạt nó?

Trình duyệt Chrome

Với bản cập nhật Chrome 79 gần đây, Google đã nói rằng họ sẽ tích hợp DoH theo mặc định trong 1% tìm kiếm của người dùng. Tuy nhiên, bạn có thể buộc Google Chrome sử dụng DNS qua HTTPS mỗi lần bằng cách bật cờ Tra cứu DNS bảo mật. Bật cờ này đảm bảo rằng tìm kiếm địa chỉ web của bạn trong Chrome sẽ được mã hóa. Lưu ý duy nhất là bạn nên sử dụng máy chủ DNS hỗ trợ DoH như Google DNS, OpenDNS hoặc Cloudflare DNS.

Firefox

Mozilla đã kích hoạt các tính năng DoH trở lại vào đầu năm 2019 cho mọi người dùng Firefox. DoH, theo mặc định, không được bật sẵn. Bạn sẽ phải nhảy xuống phần Preferences để kích hoạt nó.

Hoạt động trong Firefox hơi khác so với trình duyệt Google Chrome, bạn có thể có một máy chủ DNS riêng cho chính trình duyệt trong khi một máy chủ DNS riêng cho toàn bộ hệ thống. Sau khi bạn kích hoạt nó, DoH trong Firefox sẽ bắt đầu sử dụng Cloudflare làm máy chủ DNS. Trong trường hợp bạn muốn thiết lập một máy chủ DNS tùy chỉnh, bạn có thể chọn thông qua menu thả xuống và nhập địa chỉ IP.

Microsoft đã hứa rằng họ sẽ ra mắt với giải pháp DNS-over-HTTPs cho toàn bộ Hệ điều hành. Điều này sẽ đảm bảo các truy vấn DNS được gửi bởi các ứng dụng máy tính để bàn cũng được mã hóa. Tuy nhiên, điều này sẽ không hiệu quả nếu bạn thay đổi máy chủ DNS thành máy chủ DNS công cộng hoặc ISP của bạn.

Kiểm tra DNS qua HTTP

Trước khi viết xong bài viết này, tôi đã thử kiểm tra nước bằng Google Chrome. DoH trong Google Chrome vẫn đang trong quá trình thử nghiệm và chỉ khả dụng thông qua cờ Chrome. Tôi đã cố gắng phân tích các gói Wi-Fi của máy tính xách tay của mình bằng ứng dụng phân tích gói như Wireshark. Tôi đã phân tích các gói trước và sau khi bật DoH.

Thật ngạc nhiên hoặc may mắn là khi bạn bật DoH cho Google Chrome, WireShark không thể phát hiện các truy vấn DNS do Google Chrome gửi. Trong ảnh chụp màn hình sau, yêu cầu truy vấn DNS được gửi từ hệ thống của tôi đến máy chủ DNS của Google sẽ hiển thị. Tuy nhiên, bạn không thể nhìn thấy các gói có tên URL.

Tiếp theo, khi tôi tắt DoH và chuyển sang máy chủ OpenDNS. Do đó, bạn có thể thấy các gói truy vấn DNS hiển thị trong quá trình quét Wireshark. Truy vấn từ hệ thống của tôi đến máy chủ DNS của Google được hiển thị với URL chính xác của trang web mà tôi đang tìm kiếm. Nếu không có DoH, đây là cách những kẻ dò tìm mạng hoặc ISP của bạn có thể nhìn thấy các trang web bạn đang truy cập.