Komercaj asocioj , и , defendante la interesojn de interretaj provizantoj, al la Usona Kongreso kun peto atenti la problemon pri la efektivigo de "DNS super HTTPS" (DoH, DNS super HTTPS) kaj peti de Guglo detalajn informojn pri nunaj kaj estontaj planoj por ebligi DoH en ĝiaj produktoj, kaj ankaŭ akiri devontigon ne ebligi centralizita defaŭlte Prilaborado de DNS-petoj en Chrome kaj Android sen antaŭa plena diskuto kun aliaj membroj de la ekosistemo kaj konsiderante eblajn negativajn sekvojn.
Komprenante la ĝeneralan avantaĝon uzi ĉifradon por DNS-trafiko, la asocioj konsideras neakcepteble koncentri kontrolon pri nomrezolucio en unu mano kaj ligi ĉi tiun mekanismon defaŭlte al centralizitaj DNS-servoj. Aparte, oni argumentas, ke Google iras al enkonduko de DoH defaŭlte en Android kaj Chrome, kiuj, se ligite al Google-serviloj, rompus la malcentralizitan naturon de la DNS-infrastrukturo kaj kreus ununuran punkton de fiasko.
Ĉar Chrome kaj Android regas la merkaton, se ili trudos siajn DoH-servilojn, Guglo povos kontroli la plimulton de uzantaj DNS-demandfluoj. Krom reduktado de la fidindeco de la infrastrukturo, tia movo ankaŭ donus al Guglo maljustan avantaĝon super konkurantoj, ĉar la firmao ricevus pliajn informojn pri uzant-agoj, kiuj povus esti uzataj por spuri uzantan agadon kaj elekti koncernan reklamadon.
DoH ankaŭ povas interrompi areojn kiel gepatra kontrolo-sistemoj, aliro al internaj nomspacoj en entreprenaj sistemoj, vojigo en enhavo-liveraĵaj optimumigaj sistemoj, kaj observo de tribunalaj ordonoj kontraŭ la distribuado de kontraŭleĝa enhavo kaj ekspluato de neplenaĝuloj. DNS-parolado ankaŭ estas ofte uzata por redirekti uzantojn al paĝo kun informoj pri la fino de financo ĉe la abonanto aŭ por ensaluti en sendratan reton.
Guglo , ke la timoj estas senbazaj, ĉar ĝi ne ebligos DoH defaŭlte en Chrome kaj Android. En Chrome 78, DoH estos eksperimente ebligita defaŭlte nur por uzantoj, kies agordoj estas agorditaj kun DNS-provizantoj, kiuj ebligas uzi DoH kiel alternativon al tradicia DNS. Por tiuj, kiuj uzas lokajn ISP-provizitajn DNS-servilojn, DNS-demandoj daŭre estos senditaj per la sistema solvilo. Tiuj. La agoj de Google estas limigitaj al anstataŭigi la nunan provizanton per ekvivalenta servo por ŝanĝi al sekura metodo labori kun DNS. Eksperimenta inkludo de DoH ankaŭ estas planita por Fajrovulpo, sed male al Guglo, Mozilo defaŭlta DNS-servilo estas CloudFlare. Ĉi tiu alproksimiĝo jam kaŭzis de la projekto OpenBSD.
Ni rememoru, ke DoH povas esti utila por malhelpi likojn de informoj pri la petitaj gastigantnomoj tra la DNS-serviloj de provizantoj, kontraŭbatali MITM-atakojn kaj DNS-trafikan falsigon (ekzemple, kiam li konektas al publika Wi-Fi), kontraŭbatali blokadon ĉe la DNS. nivelo (DoH ne povas anstataŭigi VPN en la areo de preterpasi blokadon efektivigita ĉe la DPI-nivelo) aŭ por organizi laboron se estas neeble rekte aliri DNS-servilojn (ekzemple, kiam vi laboras per prokurilo).
Se en normala situacio DNS-petoj estas rekte senditaj al DNS-serviloj difinitaj en la sistema agordo, tiam en la kazo de DoH, la peto por determini la IP-adreson de la gastiganto estas enkapsuligita en HTTPS-trafiko kaj sendita al la HTTP-servilo, kie la solvilo procesas. petoj per la Reta API. La ekzistanta DNSSEC-normo uzas ĉifradon nur por aŭtentikigi la klienton kaj servilon, sed ne protektas trafikon kontraŭ interkapto kaj ne garantias la konfidencon de petoj. Nuntempe pri subtenu DoH.
fonto: opennet.ru