Kauppayhdistykset , и , puolustaa Internet-palveluntarjoajien etuja, Yhdysvaltain kongressille ja pyytää kiinnittämään huomiota "DNS over HTTPS" (DoH, DNS over HTTPS) käyttöönoton ongelmaan ja pyytämään Googlelta yksityiskohtaisia tietoja nykyisistä ja tulevista suunnitelmista ottaa DoH käyttöön sen tuotteissa sekä sitoutuu olemaan sallimatta oletusarvoisesti keskitettyä DNS-pyyntöjen käsittelyä Chromessa ja Androidissa keskustelematta etukäteen ekosysteemin muiden jäsenten kanssa ja ottamalla huomioon mahdolliset kielteiset seuraukset.
Ymmärtäessään salauksen käytön DNS-liikenteessä yleishyödyn, yhdistykset pitävät mahdottomana keskittää nimenselvityksen hallintaa yhteen käteen ja linkittää tämä mekanismi oletusarvoisesti keskitettyihin DNS-palveluihin. Erityisesti väitetään, että Google pyrkii ottamaan DoH:n oletusarvoisesti käyttöön Androidissa ja Chromessa, mikä Googlen palvelimiin sidottuna rikkoisi DNS-infrastruktuurin hajautetun luonteen ja loisi yhden vikakohdan.
Koska Chrome ja Android hallitsevat markkinoita, Google pystyy hallitsemaan suurinta osaa käyttäjien DNS-kyselyvirroista, jos ne määräävät DoH-palvelimensa. Infrastruktuurin luotettavuuden heikentämisen lisäksi tällainen siirto antaisi Googlelle epäoikeudenmukaisen edun kilpailijoihin nähden, koska yritys saisi lisätietoa käyttäjien toimista, joiden avulla voidaan seurata käyttäjien toimintaa ja valita asiaankuuluvaa mainontaa.
DoH voi myös häiritä esimerkiksi lapsilukkojärjestelmiä, pääsyä yritysjärjestelmien sisäisiin nimitiloihin, sisällön toimituksen optimointijärjestelmien reititystä ja laittoman sisällön levittämistä ja alaikäisten hyväksikäyttöä koskevien tuomioistuinten määräysten noudattamista. DNS-huijausta käytetään usein myös ohjaamaan käyttäjiä sivulle, jolla on tietoa tilaajan varojen loppumisesta, tai kirjautumaan langattomaan verkkoon.
Google , että pelot ovat perusteettomia, koska se ei ota DoH:ta oletusarvoisesti käyttöön Chromessa ja Androidissa. Chrome 78:ssa DoH on kokeellisesti käytössä oletuksena vain käyttäjille, joiden asetukset on määritetty DNS-palveluntarjoajien kanssa, jotka tarjoavat mahdollisuuden käyttää DoH:ta vaihtoehtona perinteiselle DNS:lle. Niille, jotka käyttävät paikallisia ISP:n toimittamia DNS-palvelimia, DNS-kyselyt lähetetään edelleen järjestelmän selvittimen kautta. Nuo. Googlen toimet rajoittuvat nykyisen palveluntarjoajan korvaamiseen vastaavalla palvelulla siirtyäkseen turvalliseen menetelmään työskennellä DNS:n kanssa. DoH:n kokeellinen sisällyttäminen on suunniteltu myös Firefoxille, mutta toisin kuin Google, Mozilla oletus DNS-palvelin on CloudFlare. Tämä lähestymistapa on jo aiheuttanut OpenBSD-projektista.
Muistetaan, että DoH voi olla hyödyllinen estämään pyydettyjä isäntänimiä koskevien tietojen vuotaminen palveluntarjoajien DNS-palvelimien kautta, torjumaan MITM-hyökkäyksiä ja DNS-liikenteen huijausta (esimerkiksi yhdistettäessä julkiseen Wi-Fi-verkkoon), estämään DNS-estoja. tasolla (DoH ei voi korvata VPN:ää DPI-tasolla toteutetun eston ohituksen alueella) tai työn järjestämiseen, jos DNS-palvelimiin ei pääse suoraan (esimerkiksi välityspalvelimen kautta).
Jos normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmäkokoonpanossa määritellyille DNS-palvelimille, niin DoH:n tapauksessa isännän IP-osoitteen määrittäminen pyyntö kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa ratkaisija käsittelee. pyyntöjä Web API:n kautta. Nykyinen DNSSEC-standardi käyttää salausta vain asiakkaan ja palvelimen todentamiseen, mutta ei suojaa liikennettä sieppaukselta eikä takaa pyyntöjen luottamuksellisuutta. Tällä hetkellä noin tukea DoH:ta.
Lähde: opennet.ru