미국 공급자 협회는 DNS-over-HTTPS 구현의 중앙화에 반대했습니다.

무역 협회 NCTA, CTIA и 유텔레콤, 인터넷 제공업체의 이익을 보호하고, 방향을 바꾼 "DNS over HTTPS"(DoH, DNS over HTTPS) 구현 문제에 주의를 기울이고 제품에서 DoH를 활성화하려는 현재 및 향후 계획에 대한 자세한 정보를 Google에 요청하여 미국 의회에 생태계의 다른 구성원과 사전에 충분히 논의하고 가능한 부정적인 결과를 고려하지 않고 Chrome 및 Android에서 기본적으로 중앙 집중식 DNS 요청 처리를 활성화하지 않겠다는 약속을 얻습니다.

DNS 트래픽에 대한 암호화 사용의 전반적인 이점을 이해하고 있는 협회에서는 이름 확인에 대한 제어를 한 손에 집중하고 이 메커니즘을 기본적으로 중앙 집중식 DNS 서비스에 연결하는 것은 용납할 수 없다고 생각합니다. 특히 구글은 안드로이드와 크롬에 DoH를 기본으로 도입하는 방향으로 나아가고 있다는 주장이 나오고 있는데, 이를 구글 서버와 묶을 경우 DNS 인프라의 탈중앙화 성격을 무너뜨리고 단일 장애 지점을 만들게 된다는 것이다.

Chrome과 Android가 시장을 장악하고 있기 때문에 DoH 서버를 도입하면 Google이 사용자 DNS 쿼리 흐름의 대부분을 제어할 수 있게 됩니다. 이러한 움직임은 인프라의 신뢰성을 감소시키는 것 외에도 Google이 경쟁사에 비해 불공정한 이점을 갖게 될 것입니다. 왜냐하면 회사는 사용자 활동을 추적하고 관련 광고를 선택하는 데 사용될 수 있는 사용자 작업에 대한 추가 정보를 받게 되기 때문입니다.

또한 DoH는 자녀 보호 시스템, 기업 시스템의 내부 네임스페이스에 대한 액세스, 콘텐츠 전달 최적화 시스템의 라우팅, 불법 콘텐츠 배포 및 미성년자 착취에 대한 법원 명령 준수와 같은 영역을 방해할 수 있습니다. DNS 스푸핑은 가입자의 자금 부족에 대한 정보가 있는 페이지로 사용자를 리디렉션하거나 무선 네트워크에 로그인하는 데에도 자주 사용됩니다.

Google 그는 진술, Chrome 및 Android에서는 기본적으로 DoH를 활성화하지 않기 때문에 두려움은 근거가 없습니다. 예정된 Chrome 78에서는 기존 DNS 대신 DoH를 사용할 수 있는 옵션을 제공하는 DNS 공급자로 설정이 구성된 사용자에 대해서만 DoH가 기본적으로 실험적으로 활성화됩니다. 로컬 ISP가 제공하는 DNS 서버를 사용하는 경우 DNS 쿼리는 시스템 확인자를 통해 계속 전송됩니다. 저것들. Google의 조치는 현재 공급자를 동등한 서비스로 교체하여 안전한 DNS 작업 방법으로 전환하는 것으로 제한됩니다. DoH의 실험적 포함은 Firefox에도 예정되어 있지만 Google과 달리 Mozilla는 ~에 의도하다 사용 기본 DNS 서버는 CloudFlare입니다. 이 접근 방식은 이미 비판 OpenBSD 프로젝트에서.

DoH는 공급자의 DNS 서버를 통해 요청된 호스트 이름에 대한 정보 유출을 방지하고, MITM 공격 및 DNS 트래픽 스푸핑(예: 공용 Wi-Fi에 연결할 때)을 방지하고, DNS 차단에 대응하는 데 유용할 수 있다는 점을 기억해 두십시오. 수준(DoH는 DPI 수준에서 구현된 우회 차단 영역에서 VPN을 대체할 수 없음) 또는 DNS 서버에 직접 액세스할 수 없는 경우(예: 프록시를 통해 작업하는 경우) 작업 구성을 위해 사용됩니다.

정상적인 상황에서 DNS 요청이 시스템 구성에 정의된 DNS 서버로 직접 전송된다면 DoH의 경우 호스트의 IP 주소를 확인하기 위한 요청이 HTTPS 트래픽에 캡슐화되어 확인자가 처리하는 HTTP 서버로 전송됩니다. 웹 API를 통해 요청합니다. 기존 DNSSEC 표준은 클라이언트와 서버를 인증하는 데에만 암호화를 사용하지만 트래픽을 가로채는 것을 방지하지 않으며 요청의 기밀성을 보장하지 않습니다. 현재 약 공용 DNS 서버 30개 DoH를 지원합니다.

출처 : opennet.ru