Associazioni di commercio , и , difendendo gli interessi dei fornitori di servizi Internet, al Congresso degli Stati Uniti con la richiesta di prestare attenzione al problema relativo all'implementazione di "DNS over HTTPS" (DoH, DNS over HTTPS) e di richiedere a Google informazioni dettagliate sui piani attuali e futuri per abilitare DoH nei suoi prodotti, nonché ottenere l'impegno a non abilitare l'elaborazione centralizzata per impostazione predefinita delle richieste DNS in Chrome e Android senza previa discussione approfondita con gli altri membri dell'ecosistema e tenendo conto delle possibili conseguenze negative.
Comprendendo il vantaggio complessivo derivante dall'utilizzo della crittografia per il traffico DNS, le associazioni ritengono inaccettabile concentrare il controllo sulla risoluzione dei nomi in una sola mano e collegare questo meccanismo per impostazione predefinita ai servizi DNS centralizzati. In particolare, si sostiene che Google si stia muovendo verso l’introduzione DoH per impostazione predefinita in Android e Chrome, che, se legata ai server di Google, spezzerebbe la natura decentralizzata dell’infrastruttura DNS e creerebbe un singolo punto di guasto.
Poiché Chrome e Android dominano il mercato, se imporranno i propri server DoH, Google sarà in grado di controllare la maggior parte dei flussi di query DNS degli utenti. Oltre a ridurre l’affidabilità dell’infrastruttura, una simile mossa darebbe a Google anche un vantaggio ingiusto rispetto ai concorrenti, poiché l’azienda riceverebbe ulteriori informazioni sulle azioni degli utenti, che potrebbero essere utilizzate per tracciare l’attività dell’utente e selezionare pubblicità pertinente.
Il DoH può anche compromettere ambiti quali i sistemi di controllo parentale, l’accesso agli spazi dei nomi interni nei sistemi aziendali, il routing nei sistemi di ottimizzazione della distribuzione dei contenuti e il rispetto delle ordinanze del tribunale contro la distribuzione di contenuti illegali e lo sfruttamento dei minori. Lo spoofing DNS viene spesso utilizzato anche per reindirizzare gli utenti a una pagina con informazioni sulla fine dei fondi dell'abbonato o per accedere a una rete wireless.
Google , che i timori sono infondati, dal momento che non abiliterà DoH per impostazione predefinita in Chrome e Android. In Chrome 78, DoH sarà abilitato sperimentalmente per impostazione predefinita solo per gli utenti le cui impostazioni sono configurate con provider DNS che offrono la possibilità di utilizzare DoH come alternativa al DNS tradizionale. Per coloro che utilizzano server DNS forniti dall'ISP locale, le query DNS continueranno a essere inviate tramite il risolutore di sistema. Quelli. Le azioni di Google si limitano a sostituire l'attuale fornitore con un servizio equivalente per passare a un metodo sicuro di lavoro con DNS. L'inclusione sperimentale di DoH è prevista anche per Firefox, ma a differenza di Google, Mozilla il server DNS predefinito è CloudFlare. Questo approccio ha già causato dal progetto OpenBSD.
Ricordiamo che il DoH può essere utile per impedire fughe di informazioni sui nomi host richiesti attraverso i server DNS dei provider, contrastare gli attacchi MITM e lo spoofing del traffico DNS (ad esempio durante la connessione a reti Wi-Fi pubbliche), contrastare il blocco dei DNS livello (DoH non può sostituire una VPN nell'ambito dell'elusione del blocco implementato a livello DPI) o per organizzare il lavoro se è impossibile accedere direttamente ai server DNS (ad esempio, quando si lavora tramite un proxy).
Se in una situazione normale le richieste DNS vengono inviate direttamente ai server DNS definiti nella configurazione del sistema, nel caso di DoH la richiesta per determinare l'indirizzo IP dell'host viene incapsulata nel traffico HTTPS e inviata al server HTTP, dove elabora il risolutore richieste tramite l'API Web. Lo standard DNSSEC esistente utilizza la crittografia solo per autenticare client e server, ma non protegge il traffico dalle intercettazioni e non garantisce la riservatezza delle richieste. Attualmente circa sostenere il DoH.
Fonte: opennet.ru