Asosiasi perdagangan , ΠΈ , membela kepentingan penyedia Internet, kepada Kongres AS dengan permintaan untuk memperhatikan masalah penerapan βDNS over HTTPSβ (DoH, DNS over HTTPS) dan meminta dari Google informasi rinci tentang rencana saat ini dan masa depan untuk mengaktifkan DoH dalam produknya, serta mendapatkan komitmen untuk tidak mengaktifkan pemrosesan permintaan DNS terpusat secara default di Chrome dan Android tanpa diskusi penuh sebelumnya dengan anggota ekosistem lainnya dan mempertimbangkan kemungkinan konsekuensi negatif.
Memahami manfaat keseluruhan penggunaan enkripsi untuk lalu lintas DNS, asosiasi menganggap tidak dapat diterima untuk memusatkan kendali atas resolusi nama di satu tangan dan menghubungkan mekanisme ini secara default ke layanan DNS terpusat. Secara khusus, ada argumen bahwa Google sedang bergerak untuk memperkenalkan DoH secara default di Android dan Chrome, yang jika dikaitkan dengan server Google, akan merusak sifat desentralisasi infrastruktur DNS dan menciptakan satu titik kegagalan.
Karena Chrome dan Android mendominasi pasar, jika mereka menerapkan server DoH mereka, Google akan dapat mengontrol sebagian besar aliran kueri DNS pengguna. Selain mengurangi keandalan infrastruktur, langkah tersebut juga akan memberikan Google keuntungan yang tidak adil dibandingkan pesaing, karena perusahaan akan menerima informasi tambahan tentang tindakan pengguna, yang dapat digunakan untuk melacak aktivitas pengguna dan memilih iklan yang relevan.
DoH juga dapat mengganggu berbagai bidang seperti sistem kontrol orang tua, akses ke namespace internal di sistem perusahaan, perutean dalam sistem pengoptimalan pengiriman konten, dan kepatuhan terhadap perintah pengadilan terhadap distribusi konten ilegal dan eksploitasi anak di bawah umur. Spoofing DNS juga sering digunakan untuk mengarahkan pengguna ke halaman dengan informasi tentang akhir dana di pelanggan atau untuk masuk ke jaringan nirkabel.
Google , bahwa ketakutan tersebut tidak berdasar, karena DoH tidak akan diaktifkan secara default di Chrome dan Android. Di Chrome 78, DoH akan diaktifkan secara eksperimental secara default hanya untuk pengguna yang pengaturannya dikonfigurasi dengan penyedia DNS yang menyediakan opsi untuk menggunakan DoH sebagai alternatif dari DNS tradisional. Bagi mereka yang menggunakan server DNS lokal yang disediakan ISP, permintaan DNS akan terus dikirim melalui pemecah masalah sistem. Itu. Tindakan Google terbatas pada mengganti penyedia saat ini dengan layanan setara untuk beralih ke metode aman dalam bekerja dengan DNS. Penyertaan eksperimental DoH juga dijadwalkan untuk Firefox, tetapi tidak seperti Google, Mozilla server DNS defaultnya adalah CloudFlare. Pendekatan ini telah menyebabkan dari proyek OpenBSD.
Ingatlah bahwa DoH dapat berguna untuk mencegah kebocoran informasi tentang nama host yang diminta melalui server DNS penyedia, melawan serangan MITM dan spoofing lalu lintas DNS (misalnya, saat menyambung ke Wi-Fi publik), melawan pemblokiran di DNS level (DoH tidak dapat menggantikan VPN di area bypass pemblokiran yang diterapkan pada level DPI) atau untuk mengatur pekerjaan jika tidak mungkin mengakses server DNS secara langsung (misalnya, saat bekerja melalui proxy).
Jika dalam situasi normal permintaan DNS langsung dikirim ke server DNS yang ditentukan dalam konfigurasi sistem, maka dalam kasus DoH, permintaan untuk menentukan alamat IP host dienkapsulasi dalam lalu lintas HTTPS dan dikirim ke server HTTP, tempat penyelesai memproses permintaan melalui Web API. Standar DNSSEC yang ada menggunakan enkripsi hanya untuk mengautentikasi klien dan server, tetapi tidak melindungi lalu lintas dari intersepsi dan tidak menjamin kerahasiaan permintaan. Saat ini tentang mendukung DoH.
Sumber: opennet.ru