Trgovačka udruženja , и , braneći interese pružatelja internetskih usluga, američkom Kongresu sa zahtjevom da obrati pozornost na problem s implementacijom “DNS preko HTTPS” (DoH, DNS preko HTTPS) i zatraži od Googlea detaljne informacije o trenutnim i budućim planovima za omogućavanje DoH u svojim proizvodima, kao i pribavite obvezu da nećete prema zadanim postavkama omogućiti centraliziranu obradu DNS zahtjeva u Chromeu i Androidu bez prethodne potpune rasprave s drugim članovima ekosustava i uzimanja u obzir mogućih negativnih posljedica.
Shvaćajući sveukupnu korist korištenja enkripcije za DNS promet, udruge smatraju neprihvatljivim koncentriranje kontrole nad razrješenjem imena u jednoj ruci i povezivanje ovog mehanizma prema zadanim postavkama sa centraliziranim DNS uslugama. Konkretno, tvrdi se da Google ide prema uvođenju DoH-a prema zadanim postavkama u Androidu i Chromeu, što bi, ako se poveže s Googleovim poslužiteljima, razbilo decentraliziranu prirodu DNS infrastrukture i stvorilo jednu točku kvara.
Budući da Chrome i Android dominiraju tržištem, ako nametnu svoje DoH poslužitelje, Google će moći kontrolirati većinu protoka korisničkih DNS upita. Osim što bi smanjio pouzdanost infrastrukture, ovakav bi potez Googleu dao i nepravednu prednost u odnosu na konkurenciju, jer bi tvrtka dobila dodatne informacije o radnjama korisnika, koje bi se mogle koristiti za praćenje aktivnosti korisnika i odabir relevantnog oglašavanja.
DoH također može poremetiti područja kao što su sustavi roditeljske kontrole, pristup internim imenskim prostorima u sustavima poduzeća, usmjeravanje u sustavima za optimizaciju isporuke sadržaja i poštivanje sudskih naloga protiv distribucije ilegalnog sadržaja i iskorištavanja maloljetnika. DNS spoofing također se često koristi za preusmjeravanje korisnika na stranicu s informacijama o kraju sredstava kod pretplatnika ili za prijavu na bežičnu mrežu.
Google , da su strahovi neutemeljeni, budući da neće omogućiti DoH prema zadanim postavkama u Chromeu i Androidu. U Chromeu 78, DoH će biti eksperimentalno omogućen prema zadanim postavkama samo za korisnike čije su postavke konfigurirane s DNS davateljima koji pružaju opciju korištenja DoH-a kao alternative tradicionalnom DNS-u. Za one koji koriste DNS poslužitelje koje pruža lokalni ISP, DNS upiti nastavit će se slati putem razrješavatelja sustava. Oni. Googleove radnje ograničene su na zamjenu trenutnog davatelja s ekvivalentnom uslugom za prelazak na sigurnu metodu rada s DNS-om. Eksperimentalno uključivanje DoH-a također je predviđeno za Firefox, ali za razliku od Googlea, Mozilla zadani DNS poslužitelj je CloudFlare. Ovakav je pristup već izazvao iz OpenBSD projekta.
Podsjetimo se da DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hostova kroz DNS poslužitelje pružatelja usluga, borbu protiv MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranja na DNS-u. razini (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na razini DPI) ili za organizaciju rada ako je nemoguće izravno pristupiti DNS poslužiteljima (na primjer, kada radite putem proxyja).
Ako se u normalnoj situaciji DNS zahtjevi šalju izravno na DNS poslužitelje definirane u konfiguraciji sustava, tada se u slučaju DoH-a zahtjev za određivanjem IP adrese glavnog računala enkapsulira u HTTPS promet i šalje HTTP poslužitelju, gdje rezolver obrađuje zahtjeva putem Web API-ja. Postojeći DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i poslužitelja, ali ne štiti promet od presretanja i ne jamči povjerljivost zahtjeva. Trenutno oko podrška DoH.
Izvor: opennet.ru