Гандлёвыя асацыяцыі , и , якія адстойваюць інтарэсы інтэрнэт-правайдэраў, у Кангрэс ЗША з просьбай звярнуць увагу на праблему з укараненнем «DNS па-над HTTPS» (DoH, DNS over HTTPS) і запытаць у Google дэталёвую інфармацыю аб бягучых і будучых планах па ўключэнні DoH у сваіх прадуктах, а таксама атрымаць абавязацельства не ўключаць па змаўчанні цэнтралізаваную апрацоўку DNS-запытаў у Chrome і Android без папярэдняга ўсебаковага абмеркавання з іншымі прадстаўнікамі экасістэмы і ўліку магчымых негатыўных наступстваў.
Разумеючы агульную карысць ад ужывання шыфравання для DNS-трафіка, асацыяцыі лічаць недапушчальным засяроджванне кантролю за пераўтварэннем імёнаў у адных руках і прывязку дадзенага механізму па змаўчанні да цэнтралізаваных DNS-службаў. У прыватнасці, сцвярджаецца, што Google рухаецца ў бок увядзення ў практыку прымянення DoH па змаўчанні ў Android і Chrome, што ў выпадку прывязкі да сервераў Google прывядзе да парушэння дэцэнтралізаванага характару інфраструктуры DNS і ўзнікненню адзінай кропкі адмовы.
Так як Chrome і Android дамінуюць на рынку, у выпадку навязвання сваіх DoH-сервераў Google атрымае магчымасць кантраляваць большую частку патокаў DNS-запытаў карыстальнікаў. Акрамя зніжэння надзейнасці інфраструктуры падобны крок таксама дасць Google неабгрунтаваныя перавагі перад канкурэнтамі, бо кампанія атрымае дадатковыя звесткі аб дзеяннях карыстальнікаў, якія могуць быць скарыстаны для адсочвання актыўнасці карыстальнікаў і падбору рэлевантнай рэкламы.
Ужыванне DoH таксама можа парушыць працу ў такіх галінах, як сістэмы бацькоўскага кантролю, доступ да ўнутраных прастор імёнаў у карпаратыўных сістэмах, выбар маршрутаў у сістэмах аптымізацыі дастаўкі кантэнту і выкананне судовых прадпісанняў у вобласці процідзеяння распаўсюджванню нелегальнага кантэнту і эксплуатацыі непаўналетніх. Падмена DNS таксама часта выкарыстоўваецца для перанакіравання карыстальнікаў на старонку з інфармацыяй аб заканчэнні сродкаў у абанента або для ўваходу ў бесправадную сетку.
Кампанія Google , Што асцярогі марныя, так як яна не збіраецца па змаўчанні ўключаць DoH ў Chrome і Android. у Chrome 78 эксперыментальнае ўключэнне па змаўчанні DoH будзе ахопліваць толькі карыстачоў, у наладах якіх указаны DNS-правайдэры, якія прадстаўляюць магчымасць выкарыстання DoH у якасці альтэрнатывы традыцыйным DNS. У тых, хто выкарыстоўвае прадстаўленыя лакальным інтэрнэт-правайдэрам DNS-серверы, запыты DNS працягнуць адпраўляцца праз сістэмны рэзалвер. Г.зн. дзеянні Google зводзяцца толькі да замены на эквівалентны сэрвіс бягучага правайдэра для пераходу да абароненага метаду працы з DNS. Эксперыментальнае ўключэнне DoH таксама вызначана ў Firefox, але, у адрозненне ад Google, кампанія Mozilla па змаўчанні DNS-сервер CloudFlare. Такі падыход ужо выклікаў з боку праекту OpenBSD.
Нагадаем, што DoH можа апынуцца карысным для выключэння ўцечак звестак аб запытаных імёнах хастоў праз DNS-серверы правайдэраў, барацьбы з MITM-атакамі і падменай DNS-трафіку (напрыклад, пры падлучэнні да публічных Wi-Fi), супрацьстаяння блакаванням на ўзроўні DNS (DoH не можа замяніць VPN у вобласці абыходу блакіровак, рэалізаваных на ўзроўні DPI) або для арганізацыі працы ў выпадку немагчымасці прамога звароту да DNS-серверам (напрыклад, пры працы праз проксі).
Калі ў звычайнай сітуацыі DNS-запыты напроста адпраўляюцца на вызначаныя ў канфігурацыі сістэмы DNS-серверы, то ў выпадку DoH запыт на вызначэнне IP-адрасы хаста інкапсулюецца ў трафік HTTPS і адпраўляецца на HTTP-сервер, на якім рэзалвер апрацоўвае запыты праз Web API. Існуючы стандарт DNSSEC выкарыстоўвае шыфраванне толькі для аўтэнтыфікацыі кліента і сервера, але не абараняе трафік ад перахопу і не гарантуе канфідэнцыйнасць запытаў. У цяперашні час каля падтрымліваюць DoH.
Крыніца: opennet.ru