Tirdzniecības asociācijas , и , aizstāvot interneta pakalpojumu sniedzēju intereses, ASV Kongresam ar lūgumu pievērst uzmanību problēmai saistībā ar “DNS pār HTTPS” (DoH, DNS over HTTPS) ieviešanu un pieprasīt no Google detalizētu informāciju par pašreizējiem un nākotnes plāniem iespējot DoH savos produktos, kā arī iegūt apņemšanos neiespējot centralizētu pēc noklusējuma DNS pieprasījumu apstrādi pārlūkprogrammās Chrome un Android bez iepriekšējas pilnīgas apspriešanās ar citiem ekosistēmas dalībniekiem un neņemot vērā iespējamās negatīvās sekas.
Izprotot vispārējo ieguvumu no šifrēšanas izmantošanas DNS trafikā, asociācijas uzskata, ka ir nepieņemami koncentrēt vārda izšķirtspējas kontroli vienā rokā un pēc noklusējuma saistīt šo mehānismu ar centralizētiem DNS pakalpojumiem. Jo īpaši tiek apgalvots, ka Google virzās uz DoH ieviešanu pēc noklusējuma operētājsistēmās Android un Chrome, kas, ja tas būtu saistīts ar Google serveriem, izjauktu DNS infrastruktūras decentralizēto raksturu un radītu vienu kļūmes punktu.
Tā kā pārlūkprogrammas Chrome un Android dominē tirgū, Google varēs kontrolēt lielāko daļu lietotāju DNS vaicājumu plūsmu, ja tās uzliek savus DoH serverus. Papildus infrastruktūras uzticamības samazināšanai šāds solis dotu Google arī negodīgas priekšrocības salīdzinājumā ar konkurentiem, jo uzņēmums saņemtu papildu informāciju par lietotāju darbībām, ko varētu izmantot lietotāju aktivitāšu izsekošanai un atbilstošas reklāmas atlasei.
DoH var arī traucēt tādas jomas kā vecāku kontroles sistēmas, piekļuve iekšējām nosaukumu telpām uzņēmuma sistēmās, maršrutēšana satura piegādes optimizācijas sistēmās un tiesas rīkojumu izpilde pret nelegāla satura izplatīšanu un nepilngadīgo izmantošanu. DNS viltošanu bieži izmanto arī, lai novirzītu lietotājus uz lapu ar informāciju par abonenta līdzekļu izbeigšanos vai lai pieteiktos bezvadu tīklā.
Google , ka bailes ir nepamatotas, jo tas pēc noklusējuma neiespējos DoH pārlūkā Chrome un Android. Pārlūkā Chrome 78 DoH pēc noklusējuma tiks eksperimentāli iespējots tikai tiem lietotājiem, kuru iestatījumi ir konfigurēti ar DNS nodrošinātājiem, kas nodrošina iespēju izmantot DoH kā alternatīvu tradicionālajam DNS. Tiem, kas izmanto vietējos ISP nodrošinātos DNS serverus, DNS vaicājumi turpinās tikt sūtīti, izmantojot sistēmas risinātāju. Tie. Google darbības aprobežojas ar pašreizējā pakalpojumu sniedzēja aizstāšanu ar līdzvērtīgu pakalpojumu, lai pārslēgtos uz drošu metodi darbam ar DNS. Eksperimentāla DoH iekļaušana ir paredzēta arī Firefox, taču atšķirībā no Google, Mozilla noklusējuma DNS serveris ir CloudFlare. Šī pieeja jau ir izraisījusi no OpenBSD projekta.
Atgādināsim, ka DoH var būt noderīga, lai novērstu informācijas noplūdi par pieprasītajiem resursdatora nosaukumiem caur pakalpojumu sniedzēju DNS serveriem, apkarotu MITM uzbrukumus un DNS trafika viltošanu (piemēram, pieslēdzoties publiskajam Wi-Fi), apkarotu bloķēšanu DNS. līmenī (DoH nevar aizstāt VPN DPI līmenī ieviestās bloķēšanas apiešanas jomā) vai darba organizēšanai, ja nav iespējams tieši piekļūt DNS serveriem (piemēram, strādājot caur starpniekserveri).
Ja normālā situācijā DNS pieprasījumi tiek tieši nosūtīti uz sistēmas konfigurācijā definētajiem DNS serveriem, tad DoH gadījumā pieprasījums noteikt saimniekdatora IP adresi tiek iekapsulēts HTTPS trafikā un nosūtīts uz HTTP serveri, kur atrisinātājs apstrādā. pieprasījumus, izmantojot Web API. Esošais DNSSEC standarts izmanto šifrēšanu tikai klienta un servera autentifikācijai, taču neaizsargā trafiku no pārtveršanas un negarantē pieprasījumu konfidencialitāti. Šobrīd par atbalsta DoH.
Avots: opennet.ru