Fachverbände , и , Verteidigung der Interessen von Internetanbietern, an den US-Kongress mit der Bitte, auf das Problem bei der Implementierung von „DNS über HTTPS“ (DoH, DNS über HTTPS) zu achten und von Google detaillierte Informationen über aktuelle und zukünftige Pläne zur Aktivierung von DoH in seinen Produkten anzufordern eine Verpflichtung einholen, die zentralisierte Verarbeitung von DNS-Anfragen in Chrome und Android nicht standardmäßig zu aktivieren, ohne vorherige ausführliche Diskussion mit anderen Mitgliedern des Ökosystems und unter Berücksichtigung möglicher negativer Folgen.
Da die Verbände den allgemeinen Nutzen der Verschlüsselung des DNS-Verkehrs verstehen, halten sie es für inakzeptabel, die Kontrolle über die Namensauflösung in einer Hand zu konzentrieren und diesen Mechanismus standardmäßig mit zentralisierten DNS-Diensten zu verknüpfen. Insbesondere wird argumentiert, dass Google auf die standardmäßige Einführung von DoH in Android und Chrome zusteuert, was, wenn es an Google-Server gebunden wäre, den dezentralen Charakter der DNS-Infrastruktur zerstören und einen Single Point of Failure schaffen würde.
Da Chrome und Android den Markt dominieren, kann Google den Großteil der DNS-Abfrageflüsse der Benutzer kontrollieren, wenn sie ihre DoH-Server durchsetzen. Neben einer Verringerung der Zuverlässigkeit der Infrastruktur würde ein solcher Schritt Google auch einen unfairen Vorteil gegenüber Wettbewerbern verschaffen, da das Unternehmen zusätzliche Informationen über Benutzeraktionen erhalten würde, die zur Verfolgung der Benutzeraktivitäten und zur Auswahl relevanter Werbung verwendet werden könnten.
DoH kann auch Bereiche wie Kindersicherungssysteme, Zugriff auf interne Namensräume in Unternehmenssystemen, Routing in Systemen zur Optimierung der Inhaltsbereitstellung und die Einhaltung gerichtlicher Anordnungen gegen die Verbreitung illegaler Inhalte und die Ausbeutung von Minderjährigen stören. DNS-Spoofing wird auch häufig verwendet, um Benutzer auf eine Seite mit Informationen über das Ende des Geldbetrags beim Abonnenten umzuleiten oder sich bei einem drahtlosen Netzwerk anzumelden.
Google , dass die Befürchtungen unbegründet sind, da DoH in Chrome und Android nicht standardmäßig aktiviert wird. In Chrome 78 wird DoH versuchsweise standardmäßig nur für Benutzer aktiviert, deren Einstellungen bei DNS-Anbietern konfiguriert sind, die die Möglichkeit bieten, DoH als Alternative zu herkömmlichem DNS zu verwenden. Für diejenigen, die lokale, vom ISP bereitgestellte DNS-Server verwenden, werden DNS-Anfragen weiterhin über den Systemresolver gesendet. Diese. Die Maßnahmen von Google beschränken sich darauf, den aktuellen Anbieter durch einen gleichwertigen Dienst zu ersetzen und auf eine sichere Arbeitsweise mit DNS umzustellen. Die experimentelle Einbeziehung von DoH ist auch für Firefox geplant, im Gegensatz zu Google jedoch für Mozilla Der Standard-DNS-Server ist CloudFlare. Dieser Ansatz hat bereits verursacht aus dem OpenBSD-Projekt.
Erinnern wir uns daran, dass DoH nützlich sein kann, um das Durchsickern von Informationen über die angeforderten Hostnamen über die DNS-Server von Anbietern zu verhindern, MITM-Angriffe und DNS-Traffic-Spoofing (z. B. beim Herstellen einer Verbindung zu öffentlichem WLAN) zu bekämpfen und Blockaden im DNS entgegenzuwirken Ebene (DoH kann ein VPN im Bereich der Umgehung der auf DPI-Ebene implementierten Blockierung nicht ersetzen) oder zur Arbeitsorganisation, wenn ein direkter Zugriff auf DNS-Server nicht möglich ist (z. B. bei der Arbeit über einen Proxy).
Wenn in einer normalen Situation DNS-Anfragen direkt an in der Systemkonfiguration definierte DNS-Server gesendet werden, wird im Fall von DoH die Anfrage zur Ermittlung der IP-Adresse des Hosts im HTTPS-Verkehr gekapselt und an den HTTP-Server gesendet, wo der Resolver die Verarbeitung durchführt Anfragen über die Web-API. Der bestehende DNSSEC-Standard verwendet Verschlüsselung nur zur Authentifizierung von Client und Server, schützt den Datenverkehr jedoch nicht vor dem Abfangen und garantiert nicht die Vertraulichkeit von Anfragen. Derzeit ca Unterstützen Sie DoH.
Source: opennet.ru