ΕΜΠΟΡΙΚΕΣ ΕΝΩΣΕΙΣ , и , υπερασπίζοντας τα συμφέροντα των παρόχων Διαδικτύου, προς το Κογκρέσο των ΗΠΑ με αίτημα να δοθεί προσοχή στο πρόβλημα με την εφαρμογή του «DNS over HTTPS» (DoH, DNS over HTTPS) και να ζητήσει από την Google λεπτομερείς πληροφορίες σχετικά με τα τρέχοντα και μελλοντικά σχέδια για ενεργοποίηση του DoH στα προϊόντα της, καθώς και λάβετε δέσμευση να μην ενεργοποιήσετε την κεντρική από προεπιλογή Επεξεργασία αιτημάτων DNS σε Chrome και Android χωρίς προηγούμενη πλήρη συζήτηση με άλλα μέλη του οικοσυστήματος και λαμβάνοντας υπόψη πιθανές αρνητικές συνέπειες.
Κατανοώντας το γενικό όφελος από τη χρήση κρυπτογράφησης για την κυκλοφορία DNS, οι ενώσεις θεωρούν απαράδεκτο να συγκεντρώνουν τον έλεγχο της ανάλυσης ονόματος στο ένα χέρι και να συνδέουν αυτόν τον μηχανισμό από προεπιλογή με κεντρικές υπηρεσίες DNS. Συγκεκριμένα, υποστηρίζεται ότι η Google κινείται προς την εισαγωγή DoH από προεπιλογή σε Android και Chrome, τα οποία, εάν συνδεθούν με τους διακομιστές της Google, θα σπάσουν την αποκεντρωμένη φύση της υποδομής DNS και θα δημιουργήσουν ένα μόνο σημείο αποτυχίας.
Δεδομένου ότι το Chrome και το Android κυριαρχούν στην αγορά, εάν επιβάλουν τους διακομιστές DoH τους, η Google θα μπορεί να ελέγχει την πλειονότητα των ροών ερωτημάτων DNS των χρηστών. Εκτός από τη μείωση της αξιοπιστίας της υποδομής, μια τέτοια κίνηση θα έδινε επίσης στην Google ένα αθέμιτο πλεονέκτημα έναντι των ανταγωνιστών, καθώς η εταιρεία θα λάμβανε πρόσθετες πληροφορίες σχετικά με τις ενέργειες των χρηστών, οι οποίες θα μπορούσαν να χρησιμοποιηθούν για την παρακολούθηση της δραστηριότητας των χρηστών και την επιλογή σχετικών διαφημίσεων.
Το Υπουργείο Υγείας μπορεί επίσης να διαταράξει τομείς όπως τα συστήματα γονικού ελέγχου, η πρόσβαση σε εσωτερικούς χώρους ονομάτων σε συστήματα επιχειρήσεων, η δρομολόγηση σε συστήματα βελτιστοποίησης παράδοσης περιεχομένου και η συμμόρφωση με δικαστικές εντολές κατά της διανομής παράνομου περιεχομένου και της εκμετάλλευσης ανηλίκων. Η πλαστογράφηση DNS χρησιμοποιείται επίσης συχνά για την ανακατεύθυνση των χρηστών σε μια σελίδα με πληροφορίες σχετικά με τη λήξη των χρημάτων στον συνδρομητή ή για τη σύνδεση σε ένα ασύρματο δίκτυο.
Google , ότι οι φόβοι είναι αβάσιμοι, αφού δεν πρόκειται να ενεργοποιήσει το DoH από προεπιλογή σε Chrome και Android. Στο Chrome 78, το DoH θα είναι πειραματικά ενεργοποιημένο από προεπιλογή μόνο για χρήστες των οποίων οι ρυθμίσεις έχουν διαμορφωθεί με παρόχους DNS που παρέχουν την επιλογή χρήσης DoH ως εναλλακτική του παραδοσιακού DNS. Για όσους χρησιμοποιούν τοπικούς διακομιστές DNS που παρέχονται από τον ISP, τα ερωτήματα DNS θα συνεχίσουν να αποστέλλονται μέσω του προγράμματος επίλυσης συστήματος. Εκείνοι. Οι ενέργειες της Google περιορίζονται στην αντικατάσταση του τρέχοντος παρόχου με μια αντίστοιχη υπηρεσία για τη μετάβαση σε μια ασφαλή μέθοδο εργασίας με DNS. Η πειραματική συμπερίληψη του DoH έχει επίσης προγραμματιστεί για τον Firefox, αλλά σε αντίθεση με την Google, το Mozilla Ο προεπιλεγμένος διακομιστής DNS είναι το CloudFlare. Αυτή η προσέγγιση έχει ήδη προκαλέσει από το έργο OpenBSD.
Ας υπενθυμίσουμε ότι το DoH μπορεί να είναι χρήσιμο για την αποτροπή διαρροών πληροφοριών σχετικά με τα ζητούμενα ονόματα κεντρικών υπολογιστών μέσω των διακομιστών DNS των παρόχων, την καταπολέμηση των επιθέσεων MITM και της πλαστογράφησης της κυκλοφορίας DNS (για παράδειγμα, κατά τη σύνδεση σε δημόσιο Wi-Fi), την αντιμετώπιση του αποκλεισμού στο DNS επίπεδο (Το DoH δεν μπορεί να αντικαταστήσει ένα VPN στην περιοχή της παράκαμψης αποκλεισμού που εφαρμόζεται σε επίπεδο DPI) ή για την οργάνωση εργασίας εάν είναι αδύνατη η άμεση πρόσβαση σε διακομιστές DNS (για παράδειγμα, όταν εργάζεστε μέσω διακομιστή μεσολάβησης).
Εάν σε μια κανονική κατάσταση τα αιτήματα DNS αποστέλλονται απευθείας σε διακομιστές DNS που ορίζονται στη διαμόρφωση του συστήματος, τότε στην περίπτωση του DoH, το αίτημα για τον προσδιορισμό της διεύθυνσης IP του κεντρικού υπολογιστή ενσωματώνεται στην κυκλοφορία HTTPS και αποστέλλεται στον διακομιστή HTTP, όπου επεξεργάζεται ο επιλύτης αιτήματα μέσω του Web API. Το υπάρχον πρότυπο DNSSEC χρησιμοποιεί κρυπτογράφηση μόνο για τον έλεγχο ταυτότητας του πελάτη και του διακομιστή, αλλά δεν προστατεύει την κυκλοφορία από την παρακολούθηση και δεν εγγυάται την εμπιστευτικότητα των αιτημάτων. Επί του παρόντος περίπου υποστήριξη DoH.
Πηγή: opennet.ru