Vakverenigingen , и , het verdedigen van de belangen van internetproviders, aan het Amerikaanse Congres met een verzoek om aandacht te besteden aan het probleem met de implementatie van “DNS over HTTPS” (DoH, DNS over HTTPS) en om gedetailleerde informatie van Google te vragen over huidige en toekomstige plannen om DoH in zijn producten mogelijk te maken, evenals een toezegging verkrijgen om de standaard gecentraliseerde verwerking van DNS-verzoeken in Chrome en Android niet in te schakelen zonder voorafgaande volledige discussie met andere leden van het ecosysteem en rekening houdend met mogelijke negatieve gevolgen.
De verenigingen begrijpen het algemene voordeel van het gebruik van encryptie voor DNS-verkeer en vinden het onaanvaardbaar om de controle over de naamomzetting in één hand te concentreren en dit mechanisme standaard te koppelen aan gecentraliseerde DNS-diensten. Er wordt met name betoogd dat Google op weg is naar de standaardinvoering van DoH in Android en Chrome, wat, indien gekoppeld aan Google-servers, het gedecentraliseerde karakter van de DNS-infrastructuur zou doorbreken en een single point of faillment zou creëren.
Omdat Chrome en Android de markt domineren, zal Google, als ze hun DoH-servers opleggen, het merendeel van de DNS-querystromen van gebruikers kunnen controleren. Naast het verminderen van de betrouwbaarheid van de infrastructuur zou een dergelijke stap Google ook een oneerlijk voordeel opleveren ten opzichte van concurrenten, omdat het bedrijf aanvullende informatie over gebruikersacties zou ontvangen, die zou kunnen worden gebruikt om gebruikersactiviteiten te volgen en relevante advertenties te selecteren.
DoH kan ook gebieden ontwrichten zoals systemen voor ouderlijk toezicht, toegang tot interne naamruimten in bedrijfssystemen, routering in systemen voor optimalisatie van de levering van inhoud en naleving van rechterlijke bevelen tegen de verspreiding van illegale inhoud en uitbuiting van minderjarigen. DNS-spoofing wordt ook vaak gebruikt om gebruikers door te sturen naar een pagina met informatie over het einde van het saldo bij de abonnee of om in te loggen op een draadloos netwerk.
Google , dat de vrees ongegrond is, aangezien DoH niet standaard zal worden ingeschakeld in Chrome en Android. In Chrome 78 wordt DoH experimenteel standaard alleen ingeschakeld voor gebruikers van wie de instellingen zijn geconfigureerd met DNS-providers die de mogelijkheid bieden om DoH te gebruiken als alternatief voor traditionele DNS. Voor degenen die gebruik maken van lokale, door de ISP geleverde DNS-servers, blijven DNS-query's via de systeemresolver verzonden. Die. Het handelen van Google beperkt zich tot het vervangen van de huidige provider door een gelijkwaardige dienst om over te stappen op een veilige manier van werken met DNS. Experimentele opname van DoH is ook gepland voor Firefox, maar in tegenstelling tot Google, Mozilla standaard DNS-server is CloudFlare. Deze aanpak heeft al geleid tot van het OpenBSD-project.
Laten we niet vergeten dat DoH nuttig kan zijn voor het voorkomen van het lekken van informatie over de opgevraagde hostnamen via de DNS-servers van providers, het tegengaan van MITM-aanvallen en spoofing van DNS-verkeer (bijvoorbeeld bij verbinding met openbare Wi-Fi), het tegengaan van blokkering bij de DNS niveau (DoH kan een VPN niet vervangen op het gebied van het omzeilen van blokkeringen geïmplementeerd op DPI-niveau) of voor het organiseren van werk als het onmogelijk is om rechtstreeks toegang te krijgen tot DNS-servers (bijvoorbeeld bij het werken via een proxy).
Als in een normale situatie DNS-verzoeken rechtstreeks naar de DNS-servers worden verzonden die in de systeemconfiguratie zijn gedefinieerd, wordt in het geval van DoH het verzoek om het IP-adres van de host te bepalen ingekapseld in HTTPS-verkeer en naar de HTTP-server gestuurd, waar de oplosser de processen verwerkt. aanvragen via de Web API. De bestaande DNSSEC-standaard gebruikt alleen encryptie om de client en server te authenticeren, maar beschermt het verkeer niet tegen onderschepping en garandeert niet de vertrouwelijkheid van verzoeken. Momenteel ongeveer steun DoH.
Bron: opennet.ru