Trgovačka udruženja , и , brane interese internet provajdera, Kongresu SAD-a sa zahtjevom da obrati pažnju na problem implementacije “DNS over HTTPS” (DoH, DNS over HTTPS) i zatraži od Google-a detaljne informacije o trenutnim i budućim planovima za omogućavanje DoH-a u svojim proizvodima, kao i steći obvezu da neće omogućiti centraliziranu obradu DNS zahtjeva u Chromeu i Androidu bez prethodne potpune rasprave s drugim članovima ekosistema i uzimanja u obzir mogućih negativnih posljedica.
Shvatajući sveukupnu korist korištenja enkripcije za DNS promet, udruženja smatraju neprihvatljivim koncentrirati kontrolu nad razlučivanjem imena u jednu ruku i povezati ovaj mehanizam prema zadanim postavkama sa centraliziranim DNS uslugama. Konkretno, tvrdi se da se Google kreće ka uvođenju DoH-a prema zadanim postavkama u Androidu i Chromeu, koji bi, ako bi bio vezan za Google servere, razbio decentraliziranu prirodu DNS infrastrukture i stvorio jednu tačku kvara.
Budući da Chrome i Android dominiraju tržištem, ako nametnu svoje DoH servere, Google će moći kontrolirati većinu tokova korisničkih DNS upita. Osim smanjenja pouzdanosti infrastrukture, ovakvim potezom bi Google dobio i nepravednu prednost u odnosu na konkurenciju, jer bi kompanija dobila dodatne informacije o radnjama korisnika, koje bi se mogle koristiti za praćenje aktivnosti korisnika i odabir relevantnog oglašavanja.
DoH također može poremetiti područja kao što su sistemi roditeljske kontrole, pristup internim prostorima imena u sistemima preduzeća, usmjeravanje u sistemima za optimizaciju isporuke sadržaja i poštivanje sudskih naloga protiv distribucije ilegalnog sadržaja i eksploatacije maloljetnika. DNS lažiranje se također često koristi za preusmjeravanje korisnika na stranicu s informacijama o kraju sredstava kod pretplatnika ili za prijavu na bežičnu mrežu.
Google , da su strahovi neosnovani, jer neće omogućiti DoH standardno u Chromeu i Androidu. U Chrome 78, DoH će biti eksperimentalno omogućen prema zadanim postavkama samo za korisnike čije su postavke konfigurirane s DNS provajderima koji pružaju opciju korištenja DoH-a kao alternative tradicionalnom DNS-u. Za one koji koriste lokalne DNS servere koje obezbeđuje ISP, DNS upiti će se i dalje slati preko sistemskog razrešivača. One. Googleove akcije su ograničene na zamjenu trenutnog provajdera ekvivalentnom uslugom za prelazak na siguran način rada sa DNS-om. Eksperimentalno uključivanje DoH-a je također predviđeno za Firefox, ali za razliku od Googlea, Mozilla podrazumevani DNS server je CloudFlare. Ovaj pristup je već izazvao iz OpenBSD projekta.
Podsjetimo, DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hosta preko DNS servera provajdera, suzbijanje MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), sprječavanje blokiranja na DNS-u razini (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na DPI nivou) ili za organizaciju rada ako je nemoguće direktno pristupiti DNS serverima (na primjer, kada se radi preko proxyja).
Ako se u normalnoj situaciji DNS zahtjevi direktno šalju na DNS servere definirane u konfiguraciji sistema, tada se u slučaju DoH-a zahtjev za određivanje IP adrese hosta inkapsulira u HTTPS promet i šalje na HTTP server, gdje razrješavač obrađuje zahtjeva putem Web API-ja. Postojeći DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i servera, ali ne štiti promet od presretanja i ne garantuje povjerljivost zahtjeva. Trenutno oko podrška DoH.
izvor: opennet.ru