Associacions comercials , и , defensant els interessos dels proveïdors d'Internet, al Congrés dels EUA amb una sol·licitud per prestar atenció al problema amb la implementació de "DNS sobre HTTPS" (DoH, DNS sobre HTTPS) i sol·licitar a Google informació detallada sobre els plans actuals i futurs per habilitar DoH als seus productes, així com obtenir el compromís de no habilitar per defecte el processament de sol·licituds de DNS centralitzat a Chrome i Android sense una discussió prèvia prèvia amb altres membres de l'ecosistema i tenint en compte les possibles conseqüències negatives.
Entenent el benefici general d'utilitzar el xifratge per al trànsit DNS, les associacions consideren inacceptable concentrar el control sobre la resolució de noms d'una mà i vincular aquest mecanisme per defecte als serveis DNS centralitzats. En particular, s'argumenta que Google està avançant cap a la introducció de DoH de manera predeterminada a Android i Chrome, que, si s'associen als servidors de Google, trencaria la naturalesa descentralitzada de la infraestructura DNS i crearia un únic punt de fallada.
Com que Chrome i Android dominen el mercat, si imposen els seus servidors DoH, Google podrà controlar la majoria dels fluxos de consultes DNS dels usuaris. A més de reduir la fiabilitat de la infraestructura, aquest moviment també donaria a Google un avantatge injust sobre els competidors, ja que l'empresa rebria informació addicional sobre les accions dels usuaris, que es podria utilitzar per fer un seguiment de l'activitat dels usuaris i seleccionar la publicitat rellevant.
DoH també pot interrompre àrees com els sistemes de control parental, l'accés a espais de noms interns en sistemes empresarials, l'encaminament en sistemes d'optimització de lliurament de contingut i el compliment de les ordres judicials contra la distribució de contingut il·legal i l'explotació de menors. La falsificació de DNS també s'utilitza sovint per redirigir els usuaris a una pàgina amb informació sobre el final dels fons del subscriptor o per iniciar sessió a una xarxa sense fil.
Google , que els temors són infundats, ja que no s'habilitarà DoH per defecte a Chrome i Android. A Chrome 78, DoH s'habilitarà experimentalment de manera predeterminada només per als usuaris la configuració dels quals estigui configurada amb proveïdors de DNS que ofereixen l'opció d'utilitzar DoH com a alternativa al DNS tradicional. Per a aquells que utilitzen servidors DNS locals proporcionats per l'ISP, les consultes DNS es continuaran enviant a través del solucionador del sistema. Aquells. Les accions de Google es limiten a substituir el proveïdor actual per un servei equivalent per canviar a un mètode segur de treballar amb DNS. La inclusió experimental de DoH també està prevista per a Firefox, però a diferència de Google, Mozilla El servidor DNS predeterminat és CloudFlare. Aquest plantejament ja ha provocat del projecte OpenBSD.
Recordem que DoH pot ser útil per prevenir filtracions d'informació sobre els noms d'amfitrió sol·licitats a través dels servidors DNS dels proveïdors, combatre els atacs MITM i la falsificació del trànsit DNS (per exemple, quan es connecta a una xarxa Wi-Fi pública), contrarestar el bloqueig al DNS. nivell (DoH no pot substituir una VPN a l'àrea d'obviació del bloqueig implementat a nivell de DPI) o per organitzar el treball si és impossible accedir directament als servidors DNS (per exemple, quan es treballa a través d'un proxy).
Si en una situació normal les sol·licituds DNS s'envien directament als servidors DNS definits a la configuració del sistema, aleshores, en el cas de DoH, la sol·licitud per determinar l'adreça IP de l'amfitrió s'encapsula en el trànsit HTTPS i s'envia al servidor HTTP, on el resolutor processa sol·licituds mitjançant l'API web. L'estàndard DNSSEC existent utilitza el xifratge només per autenticar el client i el servidor, però no protegeix el trànsit de la intercepció i no garanteix la confidencialitat de les sol·licituds. Actualment sobre donar suport a DoH.
Font: opennet.ru