Kaubandusühingud , и , kaitstes Interneti-teenuse pakkujate huve, USA Kongressile palvega pöörata tähelepanu "DNS-i üle HTTPS-i" (DoH, DNS üle HTTPS) rakendamise probleemile ning nõuda Google'ilt üksikasjalikku teavet praeguste ja tulevaste plaanide kohta lubada DoH oma toodetes, samuti võtma endale kohustuse mitte lubada vaikimisi tsentraliseeritud DNS-i päringute töötlemist Chrome'is ja Androidis ilma eelneva põhjaliku aruteluta teiste ökosüsteemi liikmetega ja võimalikke negatiivseid tagajärgi arvesse võtmata.
Mõistes DNS-liikluse jaoks krüptimise kasutamise üldist kasu, peavad ühendused vastuvõetamatuks koondada nimede eraldusvõime juhtimine ühte kätte ja siduda see mehhanism vaikimisi tsentraliseeritud DNS-teenustega. Eelkõige väidetakse, et Google liigub Androidis ja Chrome'is vaikimisi DoH kasutuselevõtu poole, mis Google'i serveritega seotuna purustaks DNS-i infrastruktuuri detsentraliseeritud olemuse ja tekitaks ühe tõrkepunkti.
Kuna Chrome ja Android domineerivad turul, saab Google, kui nad kehtestavad oma DoH-serverid, juhtida enamikku kasutajate DNS-i päringuvoogudest. Lisaks infrastruktuuri töökindluse vähendamisele annaks selline samm Google'ile ka ebaausa eelise konkurentide ees, kuna ettevõte saaks kasutajate tegevuste kohta lisateavet, mille abil saaks jälgida kasutajate tegevust ja valida asjakohast reklaami.
DoH võib häirida ka selliseid valdkondi nagu vanemliku kontrolli süsteemid, juurdepääs ettevõtte süsteemide sisemistele nimeruumidele, marsruutimine sisu edastamise optimeerimissüsteemides ja kohtumääruste täitmine ebaseadusliku sisu levitamise ja alaealiste ärakasutamise vastu. DNS-i võltsimist kasutatakse sageli ka kasutajate suunamiseks lehele, mis sisaldab teavet abonendi rahaliste vahendite lõppemise kohta, või traadita võrku sisselogimiseks.
Google , et hirmud on alusetud, kuna see ei luba Chrome'is ja Androidis vaikimisi DoH-d. Chrome 78-s lubatakse DoH vaikimisi eksperimentaalselt ainult nende kasutajate jaoks, kelle seaded on konfigureeritud DNS-i pakkujatega, mis pakuvad võimalust kasutada DoH-d traditsioonilise DNS-i alternatiivina. Nende jaoks, kes kasutavad kohalikke Interneti-teenuse pakkuja pakutavaid DNS-servereid, saadetakse DNS-päringuid jätkuvalt süsteemi lahendaja kaudu. Need. Google'i tegevused piirduvad praeguse pakkuja asendamisega samaväärse teenusega, et lülituda üle turvalisele DNS-iga töötamise meetodile. DoH eksperimentaalne kaasamine on mõeldud ka Firefoxi jaoks, kuid erinevalt Google'ist Mozillast vaikimisi DNS-server on CloudFlare. Selline lähenemine on juba põhjustanud OpenBSD projektist.
Tuletagem meelde, et DoH võib olla kasulik taotletud hostinimede teabelekke ärahoidmiseks pakkujate DNS-serverite kaudu, MITM-i rünnakute ja DNS-i liikluse võltsimise vastu võitlemiseks (näiteks avaliku Wi-Fi-ga ühenduse loomisel), DNS-i blokeerimise vastu võitlemiseks. tasemel (DoH ei saa asendada VPN-i DPI tasemel rakendatud blokeerimisest möödahiilimise valdkonnas) või töö korraldamiseks, kui DNS-serveritele pole otsene juurdepääs (näiteks puhverserveri kaudu töötades).
Kui tavaolukorras saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritele, siis DoH-i puhul kapseldatakse hosti IP-aadressi määramise päring HTTPS-liiklusse ja saadetakse HTTP-serverisse, kus lahendaja töötleb. päringuid veebi API kaudu. Olemasolev DNSSEC-standard kasutab krüptimist ainult kliendi ja serveri autentimiseks, kuid ei kaitse liiklust pealtkuulamise eest ega garanteeri päringute konfidentsiaalsust. Praegu umbes toetada DoH-d.
Allikas: opennet.ru