איגודי מסחר , и , הגנה על האינטרסים של ספקי האינטרנט, לקונגרס האמריקאי בבקשה לשים לב לבעיה ביישום "DNS over HTTPS" (DoH, DNS over HTTPS) ולבקש מגוגל מידע מפורט על תוכניות נוכחיות ועתידיות לאפשר את DoH במוצרים שלה, כמו גם לקבל התחייבות לא לאפשר עיבוד מרכזי כברירת מחדל בקשות DNS ב-Chrome וב-Android ללא דיון מלא מראש עם חברים אחרים במערכת האקולוגית ולקחת בחשבון השלכות שליליות אפשריות.
מתוך הבנת התועלת הכוללת של שימוש בהצפנה עבור תעבורת DNS, האגודות רואות שלא מקובל לרכז את השליטה על פתרון שמות ביד אחת ולקשר מנגנון זה כברירת מחדל לשירותי DNS מרכזיים. בפרט, נטען שגוגל מתקדמת לקראת הצגת DoH כברירת מחדל באנדרואיד וב-Chrome, שאם נקשרו לשרתי גוגל, ישבור את האופי המבוזר של תשתית ה-DNS ויוצר נקודת כשל אחת.
מכיוון שכרום ואנדרואיד שולטים בשוק, אם הם יכפו את שרתי ה-DoH שלהם, גוגל תוכל לשלוט ברוב זרימת שאילתות ה-DNS של המשתמשים. מעבר להפחתת אמינות התשתית, מהלך כזה גם יעניק לגוגל יתרון לא הוגן על פני המתחרים, שכן החברה תקבל מידע נוסף על פעולות המשתמש, שיוכל לשמש למעקב אחר פעילות המשתמשים ולבחירת פרסום רלוונטי.
DoH יכול גם לשבש אזורים כמו מערכות בקרת הורים, גישה למרחבי שמות פנימיים במערכות ארגוניות, ניתוב במערכות אופטימיזציה של אספקת תוכן וציות לצווי בית משפט נגד הפצת תוכן בלתי חוקי וניצול קטינים. זיוף DNS משמש לעתים קרובות גם כדי להפנות משתמשים לדף עם מידע על סיום הכספים אצל המנוי או כדי להיכנס לרשת אלחוטית.
גוגל , שהחששות אינם מבוססים, מכיוון שהוא לא מתכוון לאפשר DoH כברירת מחדל בכרום ובאנדרואיד. ב-Chrome 78, DoH יופעל ניסיוני כברירת מחדל רק עבור משתמשים שההגדרות שלהם מוגדרות עם ספקי DNS המספקים אפשרות להשתמש ב-DoH כחלופה ל-DNS המסורתי. עבור אלה המשתמשים בשרתי DNS מקומיים המסופקים על ידי ספק שירותי האינטרנט, שאילתות DNS ימשיכו להישלח דרך פותר המערכת. הָהֵן. הפעולות של גוגל מוגבלות להחלפת הספק הנוכחי בשירות שווה ערך כדי לעבור לשיטת עבודה מאובטחת עם DNS. הכללה נסיונית של DoH מיועדת גם ל-Firefox, אך בניגוד לגוגל, מוזילה שרת ה-DNS המוגדר כברירת מחדל הוא CloudFlare. גישה זו כבר גרמה מפרויקט OpenBSD.
נזכיר כי DoH יכול להיות שימושי למניעת דליפות מידע על שמות המארחים המבוקשים דרך שרתי ה-DNS של ספקים, מאבק בהתקפות MITM וזיוף תעבורת DNS (לדוגמה, בעת חיבור ל-Wi-Fi ציבורי), מניעת חסימה ב-DNS רמת (DoH לא יכול להחליף VPN בתחום של עקיפת חסימה המיושמת ברמת DPI) או לארגון עבודה אם אי אפשר לגשת ישירות לשרתי DNS (לדוגמה, בעבודה דרך פרוקסי).
אם במצב רגיל בקשות DNS נשלחות ישירות לשרתי DNS המוגדרים בתצורת המערכת, אז במקרה של DoH, הבקשה לקביעת כתובת ה-IP של המארח מובלעת בתעבורת HTTPS ונשלחת לשרת ה-HTTP, שם הפותר מעבד בקשות דרך ה-API של האינטרנט. תקן DNSSEC הקיים משתמש בהצפנה רק כדי לאמת את הלקוח והשרת, אך אינו מגן על התעבורה מפני יירוט ואינו מבטיח את סודיות הבקשות. כרגע בערך תומך ב-DoH.
מקור: OpenNet.ru