انجمن های تجاری , и ، دفاع از منافع ارائه دهندگان اینترنت، به کنگره ایالات متحده با درخواست توجه به مشکل اجرای "DNS over HTTPS" (DoH, DNS over HTTPS) و درخواست از Google اطلاعات دقیق در مورد برنامه های فعلی و آینده برای فعال کردن DoH در محصولات خود و همچنین متعهد شوید که پردازش درخواستهای DNS بهطور پیشفرض متمرکز در Chrome و Android را بدون بحث کامل قبلی با سایر اعضای اکوسیستم و در نظر گرفتن پیامدهای منفی احتمالی فعال نکنید.
با درک مزیت کلی استفاده از رمزگذاری برای ترافیک DNS، انجمن ها تمرکز کنترل روی وضوح نام را در یک دست و پیوند این مکانیسم به طور پیش فرض به خدمات متمرکز DNS غیرقابل قبول می دانند. به طور خاص، استدلال میشود که گوگل به سمت معرفی DoH بهطور پیشفرض در اندروید و کروم میرود، که اگر به سرورهای Google متصل شود، ماهیت غیرمتمرکز زیرساخت DNS را شکسته و یک نقطه شکست ایجاد میکند.
از آنجایی که کروم و اندروید بر بازار تسلط دارند، اگر سرورهای DoH خود را تحمیل کنند، Google میتواند اکثر جریانهای جستجوی DNS کاربر را کنترل کند. علاوه بر کاهش قابلیت اطمینان زیرساخت، چنین حرکتی همچنین به گوگل مزیت ناعادلانه ای نسبت به رقبای خود می دهد، زیرا این شرکت اطلاعات بیشتری در مورد اقدامات کاربر دریافت می کند که می تواند برای ردیابی فعالیت کاربر و انتخاب تبلیغات مربوطه استفاده شود.
وزارت بهداشت همچنین میتواند زمینههایی مانند سیستمهای کنترل والدین، دسترسی به فضاهای نام داخلی در سیستمهای سازمانی، مسیریابی در سیستمهای بهینهسازی تحویل محتوا، و پیروی از دستورات دادگاه علیه توزیع محتوای غیرقانونی و بهرهبرداری از افراد زیر سن قانونی را مختل کند. جعل DNS همچنین اغلب برای هدایت کاربران به صفحه ای با اطلاعات مربوط به پایان وجوه مشترک یا ورود به یک شبکه بی سیم استفاده می شود.
گوگل ، که ترس ها بی اساس هستند، زیرا قرار نیست DoH را به طور پیش فرض در کروم و اندروید فعال کند. در Chrome 78، DoH به طور آزمایشی به طور پیشفرض فقط برای کاربرانی فعال میشود که تنظیماتشان با ارائهدهندگان DNS پیکربندی شدهاند که گزینه استفاده از DoH را به عنوان جایگزینی برای DNS سنتی ارائه میدهند. برای کسانی که از سرورهای DNS ارائهشده توسط ISP محلی استفاده میکنند، درخواستهای DNS همچنان از طریق حلکننده سیستم ارسال میشوند. آن ها اقدامات Google محدود به جایگزینی ارائهدهنده فعلی با یک سرویس معادل برای تغییر به روش ایمن کار با DNS است. گنجاندن آزمایشی DoH برای فایرفاکس نیز در نظر گرفته شده است، اما برخلاف گوگل، موزیلا سرور DNS پیش فرض CloudFlare است. این رویکرد قبلا باعث شده است از پروژه OpenBSD
بیایید به یاد بیاوریم که DoH می تواند برای جلوگیری از درز اطلاعات در مورد نام میزبان درخواستی از طریق سرورهای DNS ارائه دهندگان، مبارزه با حملات MITM و جعل ترافیک DNS (به عنوان مثال، هنگام اتصال به Wi-Fi عمومی)، مقابله با مسدود کردن در DNS مفید باشد. سطح (DoH نمی تواند VPN را در منطقه دور زدن مسدودسازی اجرا شده در سطح DPI جایگزین کند) یا برای سازماندهی کار اگر دسترسی مستقیم به سرورهای DNS غیرممکن باشد (به عنوان مثال هنگام کار از طریق یک پروکسی).
اگر در شرایط عادی درخواستهای DNS مستقیماً به سرورهای DNS تعریف شده در پیکربندی سیستم ارسال میشوند، در مورد DoH، درخواست تعیین آدرس IP میزبان در ترافیک HTTPS کپسوله میشود و به سرور HTTP ارسال میشود، جایی که حلکننده پردازش میکند. درخواست از طریق Web API. استاندارد موجود DNSSEC از رمزگذاری فقط برای احراز هویت مشتری و سرور استفاده می کند، اما از ترافیک در برابر رهگیری محافظت نمی کند و محرمانه بودن درخواست ها را تضمین نمی کند. در حال حاضر در مورد پشتیبانی از DoH
منبع: opennet.ru