Asociacións de comerciantes , и , defendendo os intereses dos provedores de Internet, ao Congreso dos Estados Unidos cunha solicitude para prestar atención ao problema coa implementación de "DNS over HTTPS" (DoH, DNS over HTTPS) e solicitar a Google información detallada sobre os plans actuais e futuros para habilitar DoH nos seus produtos, así como obter o compromiso de non activar o procesamento de solicitudes DNS centralizadas por defecto en Chrome e Android sen unha discusión previa previa con outros membros do ecosistema e tendo en conta as posibles consecuencias negativas.
Entendendo o beneficio xeral de usar o cifrado para o tráfico DNS, as asociacións consideran inaceptable concentrar o control sobre a resolución de nomes nunha man e vincular este mecanismo por defecto a servizos de DNS centralizados. En particular, argumentase que Google está avanzando cara a introducir DoH por defecto en Android e Chrome, o que, de estar ligado aos servidores de Google, rompería a natureza descentralizada da infraestrutura DNS e crearía un único punto de falla.
Dado que Chrome e Android dominan o mercado, se impoñen os seus servidores DoH, Google poderá controlar a maioría dos fluxos de consulta DNS dos usuarios. Ademais de reducir a fiabilidade da infraestrutura, tal movemento tamén daría a Google unha vantaxe inxusta sobre os seus competidores, xa que a empresa recibiría información adicional sobre as accións dos usuarios, que podería utilizarse para rastrexar a actividade dos usuarios e seleccionar publicidade relevante.
O DoH tamén pode perturbar áreas como os sistemas de control parental, o acceso a espazos de nomes internos en sistemas empresariais, o enrutamento en sistemas de optimización de entrega de contidos e o cumprimento das ordes xudiciais contra a distribución de contido ilegal e a explotación de menores. A suplantación de DNS tamén se usa a miúdo para redirixir os usuarios a unha páxina con información sobre o fin dos fondos no subscritor ou para iniciar sesión nunha rede sen fíos.
Google , que os temores son infundados, xa que non vai habilitar DoH por defecto en Chrome e Android. En Chrome 78, DoH activarase experimentalmente de forma predeterminada só para os usuarios cuxa configuración estea configurada con provedores de DNS que ofrecen a opción de usar DoH como alternativa ao DNS tradicional. Para aqueles que usan servidores DNS locais proporcionados polo ISP, as consultas DNS seguirán enviándose a través do resolvedor do sistema. Eses. As accións de Google limítanse a substituír o provedor actual por un servizo equivalente para cambiar a un método seguro de traballar con DNS. A inclusión experimental de DoH tamén está prevista para Firefox, pero a diferenza de Google, Mozilla O servidor DNS predeterminado é CloudFlare. Este enfoque xa causou do proxecto OpenBSD.
Lembremos que DoH pode ser útil para evitar filtracións de información sobre os nomes de host solicitados a través dos servidores DNS dos provedores, combater ataques MITM e suplantación de tráfico DNS (por exemplo, cando se conecta a wifi pública), contrarrestar o bloqueo no DNS. nivel (DoH non pode substituír unha VPN na área de evitar o bloqueo implementado a nivel de DPI) ou para organizar o traballo se é imposible acceder directamente aos servidores DNS (por exemplo, cando se traballa a través dun proxy).
Se nunha situación normal as solicitudes de DNS envíanse directamente aos servidores DNS definidos na configuración do sistema, entón no caso de DoH, a solicitude para determinar o enderezo IP do host encápsulase no tráfico HTTPS e envíase ao servidor HTTP, onde o resolutor procesa. solicitudes a través da API web. O estándar DNSSEC existente usa o cifrado só para autenticar o cliente e o servidor, pero non protexe o tráfico da intercepción e non garante a confidencialidade das solicitudes. Actualmente sobre apoiar DoH.
Fonte: opennet.ru