Association commerciale , и , défendant les intérêts des fournisseurs d'accès Internet, au Congrès américain en demandant de prêter attention au problème de la mise en œuvre du « DNS sur HTTPS » (DoH, DNS sur HTTPS) et en demandant à Google des informations détaillées sur les plans actuels et futurs pour activer DoH dans ses produits, ainsi que obtenir un engagement à ne pas activer le traitement centralisé par défaut des requêtes DNS dans Chrome et Android sans discussion approfondie préalable avec les autres membres de l'écosystème et en tenant compte des éventuelles conséquences négatives.
Comprenant l'avantage global de l'utilisation du cryptage pour le trafic DNS, les associations considèrent qu'il est inacceptable de concentrer le contrôle de la résolution de noms dans une seule main et de lier ce mécanisme par défaut aux services DNS centralisés. En particulier, il est avancé que Google s'oriente vers l'introduction de DoH par défaut dans Android et Chrome, ce qui, s'il était lié aux serveurs de Google, briserait la nature décentralisée de l'infrastructure DNS et créerait un point de défaillance unique.
Puisque Chrome et Android dominent le marché, s’ils imposent leurs serveurs DoH, Google pourra contrôler la majorité des flux de requêtes DNS des utilisateurs. En plus de réduire la fiabilité de l'infrastructure, une telle décision donnerait également à Google un avantage injuste sur ses concurrents, puisque l'entreprise recevrait des informations supplémentaires sur les actions des utilisateurs, qui pourraient être utilisées pour suivre l'activité des utilisateurs et sélectionner des publicités pertinentes.
Le DoH peut également perturber des domaines tels que les systèmes de contrôle parental, l'accès aux espaces de noms internes dans les systèmes d'entreprise, le routage dans les systèmes d'optimisation de la diffusion de contenu et le respect des ordonnances des tribunaux contre la distribution de contenus illégaux et l'exploitation de mineurs. L'usurpation d'identité DNS est également souvent utilisée pour rediriger les utilisateurs vers une page contenant des informations sur la fin des fonds chez l'abonné ou pour se connecter à un réseau sans fil.
Google , que les craintes sont infondées, puisqu'il n'activera pas DoH par défaut dans Chrome et Android. Dans Chrome 78, DoH sera activé expérimentalement par défaut uniquement pour les utilisateurs dont les paramètres sont configurés avec des fournisseurs DNS qui offrent la possibilité d'utiliser DoH comme alternative au DNS traditionnel. Pour ceux qui utilisent des serveurs DNS locaux fournis par un FAI, les requêtes DNS continueront d'être envoyées via le résolveur du système. Ceux. Les actions de Google se limitent à remplacer le fournisseur actuel par un service équivalent pour passer à une méthode sécurisée de travail avec DNS. L'inclusion expérimentale de DoH est également prévue pour Firefox, mais contrairement à Google, Mozilla le serveur DNS par défaut est CloudFlare. Cette approche a déjà provoqué du projet OpenBSD.
Rappelons que DoH peut être utile pour empêcher les fuites d'informations sur les noms d'hôtes demandés via les serveurs DNS des fournisseurs, lutter contre les attaques MITM et l'usurpation du trafic DNS (par exemple, lors de la connexion au Wi-Fi public), contrer le blocage au niveau du DNS. (Le DoH ne peut pas remplacer un VPN dans le domaine du contournement des blocages mis en œuvre au niveau DPI) ou pour organiser le travail s'il est impossible d'accéder directement aux serveurs DNS (par exemple, lorsque l'on travaille via un proxy).
Si dans une situation normale les requêtes DNS sont directement envoyées aux serveurs DNS définis dans la configuration du système, alors dans le cas de DoH, la requête pour déterminer l'adresse IP de l'hôte est encapsulée dans le trafic HTTPS et envoyée au serveur HTTP, où le résolveur traite requêtes via l’API Web. La norme DNSSEC existante utilise le cryptage uniquement pour authentifier le client et le serveur, mais ne protège pas le trafic contre l'interception et ne garantit pas la confidentialité des demandes. Actuellement environ soutenir le DoH.
Source: opennet.ru