Obchodní sdružení , и , hájící zájmy poskytovatelů internetu, Kongresu USA s žádostí věnovat pozornost problému s implementací „DNS over HTTPS“ (DoH, DNS over HTTPS) a vyžádat si od společnosti Google podrobné informace o současných a budoucích plánech na povolení DoH ve svých produktech, jakož i získat závazek nepovolit ve výchozím nastavení centralizované zpracování požadavků DNS v Chrome a Androidu bez předchozí úplné diskuse s ostatními členy ekosystému a zohlednění možných negativních důsledků.
Vzhledem k celkové výhodě používání šifrování pro provoz DNS považují sdružení za nepřijatelné soustředit kontrolu nad překladem názvů do jedné ruky a tento mechanismus standardně propojovat s centralizovanými službami DNS. Zejména se tvrdí, že Google směřuje k zavádění DoH ve výchozím nastavení v systémech Android a Chrome, což by v případě spojení se servery Google narušilo decentralizovanou povahu infrastruktury DNS a vytvořilo jediný bod selhání.
Vzhledem k tomu, že na trhu dominují Chrome a Android, pokud zavedou své servery DoH, bude Google moci řídit většinu toků uživatelských dotazů DNS. Kromě snížení spolehlivosti infrastruktury by takový krok také poskytl společnosti Google nespravedlivou výhodu oproti konkurentům, protože společnost by získala další informace o akcích uživatelů, které by mohly být použity ke sledování aktivity uživatelů a výběru relevantní reklamy.
DoH může také narušit oblasti, jako jsou systémy rodičovské kontroly, přístup k interním jmenným prostorům v podnikových systémech, směrování v systémech optimalizace doručování obsahu a dodržování soudních příkazů proti šíření nelegálního obsahu a zneužívání nezletilých. DNS spoofing se také často používá k přesměrování uživatelů na stránku s informací o konci finančních prostředků u předplatitele nebo k přihlášení do bezdrátové sítě.
Google , že obavy jsou neopodstatněné, protože ve výchozím nastavení nepovolí DoH v Chrome a Androidu. V Chrome 78 bude DoH ve výchozím nastavení experimentálně povoleno pouze pro uživatele, jejichž nastavení jsou nakonfigurována u poskytovatelů DNS, kteří poskytují možnost použít DoH jako alternativu k tradičnímu DNS. Pro uživatele, kteří používají servery DNS poskytované místním poskytovatelem internetových služeb, budou dotazy DNS i nadále odesílány přes systémový resolver. Tito. Akce společnosti Google se omezují na nahrazení současného poskytovatele ekvivalentní službou pro přechod na zabezpečenou metodu práce s DNS. Experimentální zahrnutí DoH je naplánováno také pro Firefox, ale na rozdíl od Google, Mozilla výchozí server DNS je CloudFlare. Tento přístup již způsobil z projektu OpenBSD.
Připomeňme, že DoH může být užitečné pro zabránění úniku informací o požadovaných názvech hostitelů přes DNS servery poskytovatelů, v boji proti MITM útokům a DNS traffic spoofing (například při připojení k veřejné Wi-Fi), proti blokování na DNS úroveň (DoH nemůže nahradit VPN v oblasti obcházení blokování implementovaného na úrovni DPI) nebo pro organizaci práce, pokud není možný přímý přístup k serverům DNS (například při práci přes proxy).
Pokud jsou za normální situace požadavky DNS odesílány přímo na servery DNS definované v konfiguraci systému, pak v případě DoH je požadavek na určení IP adresy hostitele zapouzdřen do provozu HTTPS a odeslán na server HTTP, kde překladač zpracovává požadavky prostřednictvím webového rozhraní API. Stávající standard DNSSEC používá šifrování pouze k ověření klienta a serveru, ale nechrání provoz před zachycením a nezaručuje důvěrnost požadavků. Aktuálně o podpora DoH.
Zdroj: opennet.ru