業界団体 , и 、インターネットプロバイダーの利益を擁護し、 「DNS over HTTPS」(DoH、DNS over HTTPS)の実装に関する問題に注意を払うよう米国議会に要請し、Google に対し、自社製品で DoH を有効にする現在および将来の計画に関する詳細な情報を要求しました。エコシステムの他のメンバーとの事前の十分な議論や、起こり得る悪影響を考慮することなく、Chrome および Android での DNS リクエストの集中処理をデフォルトで有効にしないというコミットメントを取得します。
DNS トラフィックに暗号化を使用することの全体的な利点を理解しているため、協会は、名前解決の制御を一方に集中させ、このメカニズムをデフォルトで集中 DNS サービスにリンクすることは受け入れられないと考えています。 特に、Google は Android と Chrome にデフォルトで DoH を導入する方向で動いていると主張されており、これが Google サーバーに関連付けられている場合、DNS インフラストラクチャの分散型の性質が破壊され、単一障害点が発生する可能性があります。
Chrome と Android が市場を支配しているため、これらが DoH サーバーを導入すれば、Google はユーザーの DNS クエリ フローの大部分を制御できるようになります。 このような動きは、インフラストラクチャの信頼性を低下させるだけでなく、Google に競合他社に対して不当な優位性を与えることにもなります。Google はユーザーの行動に関する追加情報を受け取り、その情報を利用してユーザーの活動を追跡し、関連する広告を選択することができるからです。
DoH はまた、ペアレンタル コントロール システム、企業システムの内部名前空間へのアクセス、コンテンツ配信最適化システムのルーティング、違法コンテンツの配布や未成年者の搾取に対する裁判所命令の順守などの領域を混乱させる可能性があります。 DNS スプーフィングは、加入者の資金終了に関する情報を含むページにユーザーをリダイレクトしたり、無線ネットワークにログインしたりするためにもよく使用されます。
グーグル 、Chrome と Android ではデフォルトで DoH が有効になるわけではないため、その懸念は根拠がありません。 Chrome 78 では、従来の DNS の代わりに DoH を使用するオプションを提供する DNS プロバイダーで設定が構成されているユーザーに対してのみ、DoH がデフォルトで実験的に有効になります。 ローカル ISP が提供する DNS サーバーを使用している場合、DNS クエリは引き続きシステム リゾルバーを通じて送信されます。 それらの。 Google の措置は、現在のプロバイダーを同等のサービスに置き換えて、DNS と連携する安全な方法に切り替えることに限定されています。 Firefox にも DoH が実験的に組み込まれる予定ですが、Google とは異なり、Mozilla デフォルトの DNS サーバーは CloudFlare です。 このアプローチはすでに OpenBSD プロジェクトから。
DoH は、プロバイダーの DNS サーバーを介した要求されたホスト名に関する情報の漏洩の防止、MITM 攻撃や DNS トラフィックのスプーフィングへの対処 (公衆 Wi-Fi への接続時など)、DNS でのブロックへの対抗に役立つことを思い出してください。レベル(DoH は、DPI レベルで実装されたブロッキングをバイパスする領域で VPN を置き換えることはできません)、または DNS サーバーに直接アクセスできない場合(たとえば、プロキシを介して作業する場合)の作業を整理するために使用します。
通常の状況では、DNS リクエストがシステム構成で定義された DNS サーバーに直接送信される場合、DoH の場合、ホストの IP アドレスを決定するリクエストは HTTPS トラフィックにカプセル化されて HTTP サーバーに送信され、そこでリゾルバーが処理します。 Web API経由でのリクエスト。 既存の DNSSEC 標準では、クライアントとサーバーの認証にのみ暗号化が使用されますが、トラフィックを傍受から保護したり、リクエストの機密性を保証したりすることはありません。 現在約 DoHをサポートします。
出所: オープンネット.ru