Le associazioni dei fornitori statunitensi si oppongono alla centralizzazione nell'implementazione di DNS-over-HTTPS

Associazioni commerciali NCTA, CTIA e USTelecom, che difendono gli interessi dei fornitori di servizi Internet, si sono rivolte al Congresso degli Stati Uniti per richiamare l'attenzione sul problema dell'implementazione di «DNS over HTTPS» (DoH) e richiedere a Google informazioni dettagliate sui piani attuali e futuri per includere il DoH nei propri prodotti, nonché un impegno a non attivare per impostazione predefinita l'elaborazione centralizzata delle richieste DNS in Chrome e Android senza un'ampia consultazione con altri rappresentanti dell'ecosistema e tenendo conto delle possibili conseguenze negative.

Comprendendo i benefici complessivi dell'uso della crittografia per il traffico DNS, le associazioni ritengono inaccettabile concentrare il controllo della risoluzione dei nomi in un'unica entità e legare questo meccanismo per impostazione predefinita a servizi DNS centralizzati. In particolare, si afferma che Google sta procedendo verso l'implementazione del DoH per impostazione predefinita in Android e Chrome, il che, in caso di collegamento ai server di Google, comporterebbe la violazione della natura decentralizzata dell'infrastruttura DNS e la creazione di un punto unico di failure.

Poiché Chrome e Android dominano il mercato, l'imposizione dei propri server DoH da parte di Google consentirebbe di controllare la maggior parte del traffico delle query DNS degli utenti. Oltre a ridurre l'affidabilità dell'infrastruttura, una tale mossa darebbe anche a Google un vantaggio ingiustificato rispetto ai concorrenti, poiché l'azienda otterrebbe ulteriori informazioni sulle azioni degli utenti, che potrebbero essere utilizzate per monitorare le attività e selezionare pubblicità pertinenti.

L'uso del DoH potrebbe anche interferire in settori come i sistemi di controllo genitoriale, l'accesso agli spazi dei nomi interni nei sistemi aziendali, la scelta dei percorsi nei sistemi di ottimizzazione della consegna dei contenuti e l'esecuzione di ordini del tribunale per contrastare la diffusione di contenuti illegali e lo sfruttamento dei minorenni. La sostituzione del DNS è spesso utilizzata anche per reindirizzare gli utenti a una pagina informativa riguardo alla scadenza dei fondi nel loro contratto o per accedere a una rete wireless.

Google ha dichiarato, quindi le preoccupazioni sono infondate, in quanto non ha intenzione di abilitare DoH di default in Chrome e Android. Pianificato In Chrome 78, l'attivazione sperimentale di default di DoH coprirà solo gli utenti le cui impostazioni indicano fornitori DNS che offrono la possibilità di utilizzare DoH come alternativa ai tradizionali DNS. Per coloro che utilizzano i server DNS forniti dal loro internet provider locale, le richieste DNS continueranno a essere inviate attraverso il risolutore del sistema. In altre parole, le azioni di Google si limitano a sostituire il servizio del fornitore attuale con un corrispondente per passare a un metodo di lavoro sicuro con DNS. L'attivazione sperimentale di DoH è prevista anche in Firefox, ma a differenza di Google, Mozilla intende utilizzare di default utilizzare il server DNS di CloudFlare. Questo approccio ha già suscitato critiche da parte del progetto OpenBSD.

Ricordiamo che DoH può essere utile per evitare perdite di informazioni sui nomi host richiesti attraverso i server DNS dei provider, combattere attacchi MITM e la sostituzione del traffico DNS (ad esempio, quando ci si connette a Wi-Fi pubblici), contrastare le restrizioni a livello DNS (DoH non può sostituire un VPN per superare i blocchi implementati a livello DPI) o per organizzare il funzionamento in caso di impossibilità di accesso diretto ai server DNS (ad esempio, quando si lavora tramite un proxy).

Se in situazioni normali le richieste DNS vengono inviate direttamente ai server DNS configurati nel sistema, nel caso di DoH la richiesta per determinare l'indirizzo IP dell'host è incapsulata nel traffico HTTPS e inviata a un server HTTP, dove il risolutore gestisce le richieste tramite Web API. Lo standard esistente DNSSEC utilizza la crittografia solo per l'autenticazione del cliente e del server, ma non protegge il traffico dall'intercettazione e non garantisce la riservatezza delle richieste. Attualmente, ci sono circa 30 server DNS pubblici che supportano DoH.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster