Merkataritzako elkarteak , ΠΈ , Interneteko hornitzaileen interesak defendatuz, AEBetako Kongresuari "DNS over HTTPS" (DoH, DNS over HTTPS) ezartzeko arazoari arreta emateko eskaerarekin eta Google-ri bere produktuetan DoH gaitzeko egungo eta etorkizuneko planei buruzko informazio zehatza eskatuz, baita. lor ezazu Chrome eta Android-en DNS kontsultak prozesatzeko zentralizatua lehenespenez ez gaitzeko konpromisoa, aldez aurretik ekosistemako beste kideekin eztabaida osoa izan gabe eta izan daitezkeen ondorio negatiboak kontuan hartuta.
DNS trafikorako enkriptatzea erabiltzearen onura orokorra ulertuta, elkarteek onartezina deritzote izenen ebazpenaren gaineko kontrola esku batean kontzentratzea eta mekanismo hau lehenespenez DNS zerbitzu zentralizatuekin lotzea. Bereziki, Google-k Android eta Chrome-n DoH lehenespenez sartzera doala argudiatzen da, eta horrek, Google zerbitzariei lotuta egonez gero, DNS azpiegituraren izaera deszentralizatua hautsiko luke eta hutsegite puntu bakarra sortuko luke.
Chrome eta Android merkatuan nagusi direnez, DoH zerbitzariak ezartzen badituzte, Google-k erabiltzaileen DNS kontsulta-fluxu gehienak kontrolatu ahal izango ditu. Azpiegituraren fidagarritasuna murrizteaz gain, mugimendu horrek Google-ri abantaila bidegabea ere emango lioke lehiakideekiko, konpainiak erabiltzaileen ekintzei buruzko informazio gehigarria jasoko bailuke, erabiltzaileen jardueraren jarraipena egiteko eta publizitate garrantzitsua hautatzeko erabil liteke.
DoH-k ere eten ditzake arloak, hala nola gurasoen kontrol sistemak, enpresa-sistemetako barne-izen-espazioetarako sarbidea, edukiak entregatzeko optimizazio sistemetan bideratzea eta legez kanpoko edukia banatzearen eta adingabeen ustiapenaren aurkako epaitegien aginduak betetzea. DNS spoofing-a ere erabili ohi da erabiltzaileak harpidedunaren funtsen amaierari buruzko informazioa duen orrialde batera birbideratzeko edo hari gabeko sare batean saioa hasteko.
Google , beldurrak ez direla funtsik, ez baitu DoH gaituko lehenespenez Chrome eta Android-en. Chrome 78-n, DoH esperimentalki gaituta egongo da lehenespenez, DoH DNS tradizionalaren alternatiba gisa erabiltzeko aukera ematen duten DNS hornitzaileekin konfiguratutako ezarpenak dituzten erabiltzaileentzat soilik. ISP-k hornitutako DNS zerbitzari lokalak erabiltzen dituztenentzat, DNS kontsultak sistemaren ebazpenaren bidez bidaltzen jarraituko dute. Horiek. Google-ren ekintzak egungo hornitzailea zerbitzu baliokide batekin ordeztzera mugatzen dira, DNSrekin lan egiteko metodo seguru batera aldatzeko. DoH-ren esperimentazioa ere Firefoxerako aurreikusita dago, baina Google ez bezala, Mozilla DNS zerbitzari lehenetsia CloudFlare da. Planteamendu honek dagoeneko eragin du OpenBSD proiektutik.
Gogora dezagun DoH erabilgarria izan daitekeela hornitzaileen DNS zerbitzarien bidez eskatutako ostalari-izenei buruzko informazio-filtrazioa saihesteko, MITM erasoei eta DNS trafikoaren faltsioari aurre egiteko (adibidez, Wi-Fi publikora konektatzean), DNSn blokeatzeari aurre egiteko. maila (DoH-k ezin du ordezkatu VPN bat DPI mailan inplementatutako blokeoa saihesteko eremuan) edo lana antolatzeko DNS zerbitzarietara zuzenean sartzea ezinezkoa bada (adibidez, proxy baten bidez lan egiten denean).
Egoera normal batean DNS eskaerak sistemaren konfigurazioan definitutako DNS zerbitzarietara zuzenean bidaltzen badira, DoH-ren kasuan, ostalariaren IP helbidea zehazteko eskaera HTTPS trafikoan sartzen da eta HTTP zerbitzarira bidaltzen da, non konpontzaileak prozesatzen duen. eskaerak Web APIaren bidez. Lehendik dagoen DNSSEC estandarrak enkriptatzea erabiltzen du bezeroa eta zerbitzaria autentifikatzeko soilik, baina ez du trafikoa atzematetik babesten eta ez du eskaeren konfidentzialtasuna bermatzen. Gaur egun buruz onartzen DoH.
Iturria: opennet.ru