Asociaciones comerciales , и , defendiendo los intereses de los proveedores de Internet, al Congreso de los EE. UU. con una solicitud para que preste atención al problema con la implementación de "DNS sobre HTTPS" (DoH, DNS sobre HTTPS) y solicite a Google información detallada sobre los planes actuales y futuros para habilitar DoH en sus productos, así como obtener el compromiso de no habilitar el procesamiento centralizado por defecto de solicitudes de DNS en Chrome y Android sin una discusión previa y completa con otros miembros del ecosistema y teniendo en cuenta las posibles consecuencias negativas.
Al comprender el beneficio general de utilizar el cifrado para el tráfico DNS, las asociaciones consideran inaceptable concentrar el control sobre la resolución de nombres en una mano y vincular este mecanismo de forma predeterminada a los servicios DNS centralizados. En particular, se argumenta que Google está avanzando hacia la introducción de DoH de forma predeterminada en Android y Chrome, lo que, si se vincula a los servidores de Google, rompería la naturaleza descentralizada de la infraestructura DNS y crearía un punto único de falla.
Dado que Chrome y Android dominan el mercado, si imponen sus servidores DoH, Google podrá controlar la mayoría de los flujos de consultas DNS de los usuarios. Además de reducir la confiabilidad de la infraestructura, tal medida también daría a Google una ventaja injusta sobre sus competidores, ya que la empresa recibiría información adicional sobre las acciones de los usuarios, que podría usarse para rastrear la actividad del usuario y seleccionar publicidad relevante.
El Departamento de Salud también puede alterar áreas como los sistemas de control parental, el acceso a espacios de nombres internos en sistemas empresariales, el enrutamiento en sistemas de optimización de entrega de contenido y el cumplimiento de órdenes judiciales contra la distribución de contenido ilegal y la explotación de menores. La suplantación de DNS también se utiliza a menudo para redirigir a los usuarios a una página con información sobre el fin de los fondos del suscriptor o para iniciar sesión en una red inalámbrica.
Google , que los temores son infundados, ya que no va a habilitar DoH por defecto en Chrome y Android. En Chrome 78, DoH se habilitará experimentalmente de forma predeterminada solo para los usuarios cuyas configuraciones estén configuradas con proveedores de DNS que brinden la opción de usar DoH como alternativa al DNS tradicional. Para aquellos que utilizan servidores DNS proporcionados por el ISP local, las consultas DNS seguirán enviándose a través del sistema de resolución. Aquellos. Las acciones de Google se limitan a sustituir el proveedor actual por un servicio equivalente para pasar a un método seguro de trabajar con DNS. La inclusión experimental de DoH también está prevista para Firefox, pero a diferencia de Google, Mozilla El servidor DNS predeterminado es CloudFlare. Este enfoque ya ha causado del proyecto OpenBSD.
Recordemos que DoH puede resultar útil para prevenir la filtración de información sobre los nombres de host solicitados a través de los servidores DNS de los proveedores, combatir los ataques MITM y la suplantación de tráfico DNS (por ejemplo, al conectarse a una red Wi-Fi pública), contrarrestar el bloqueo en el DNS nivel (DoH no puede reemplazar una VPN en el área de eludir el bloqueo implementado en el nivel DPI) o para organizar el trabajo si es imposible acceder directamente a los servidores DNS (por ejemplo, cuando se trabaja a través de un proxy).
Si en una situación normal las solicitudes DNS se envían directamente a los servidores DNS definidos en la configuración del sistema, entonces, en el caso de DoH, la solicitud para determinar la dirección IP del host se encapsula en el tráfico HTTPS y se envía al servidor HTTP, donde el solucionador procesa solicitudes a través de la API web. El estándar DNSSEC existente utiliza cifrado sólo para autenticar al cliente y al servidor, pero no protege el tráfico contra la interceptación y no garantiza la confidencialidad de las solicitudes. Actualmente sobre apoyar al Departamento de Salud.
Fuente: opennet.ru