Handelsorganisasjoner , и , forsvare interessene til internettleverandører, til den amerikanske kongressen med en forespørsel om å ta hensyn til problemet med implementeringen av "DNS over HTTPS" (DoH, DNS over HTTPS) og be om detaljert informasjon fra Google om nåværende og fremtidige planer for å aktivere DoH i sine produkter, samt få en forpliktelse om ikke å aktivere sentralisert som standard behandling av DNS-forespørsler i Chrome og Android uten forutgående fullstendig diskusjon med andre medlemmer av økosystemet og ta hensyn til mulige negative konsekvenser.
For å forstå den generelle fordelen med å bruke kryptering for DNS-trafikk, anser foreningene det som uakseptabelt å konsentrere kontrollen over navneløsning på én hånd og koble denne mekanismen som standard til sentraliserte DNS-tjenester. Spesielt argumenteres det for at Google beveger seg mot å introdusere DoH som standard i Android og Chrome, som, hvis knyttet til Google-servere, ville bryte den desentraliserte naturen til DNS-infrastrukturen og skape et enkelt feilpunkt.
Siden Chrome og Android dominerer markedet, hvis de pålegger sine DoH-servere, vil Google være i stand til å kontrollere de fleste bruker-DNS-søkestrømmene. I tillegg til å redusere påliteligheten til infrastrukturen, vil et slikt grep også gi Google en urettferdig fordel i forhold til konkurrentene, siden selskapet vil motta tilleggsinformasjon om brukerhandlinger, som kan brukes til å spore brukeraktivitet og velge relevant annonsering.
DoH kan også forstyrre områder som foreldrekontrollsystemer, tilgang til interne navnerom i bedriftssystemer, ruting i systemer for optimalisering av innholdslevering og overholdelse av rettskjennelser mot distribusjon av ulovlig innhold og utnyttelse av mindreårige. DNS-spoofing brukes også ofte for å omdirigere brukere til en side med informasjon om slutten av midler hos abonnenten eller for å logge på et trådløst nettverk.
Google , at frykten er ubegrunnet, siden den ikke kommer til å aktivere DoH som standard i Chrome og Android. I Chrome 78 vil DoH være eksperimentelt aktivert som standard bare for brukere hvis innstillinger er konfigurert med DNS-leverandører som gir muligheten til å bruke DoH som et alternativ til tradisjonell DNS. For de som bruker lokale ISP-leverte DNS-servere, vil DNS-spørringer fortsette å sendes gjennom systemløseren. De. Googles handlinger er begrenset til å erstatte den nåværende leverandøren med en tilsvarende tjeneste for å bytte til en sikker metode for arbeid med DNS. Eksperimentell inkludering av DoH er også planlagt for Firefox, men i motsetning til Google, Mozilla standard DNS-server er CloudFlare. Denne tilnærmingen har allerede forårsaket fra OpenBSD-prosjektet.
La oss huske at DoH kan være nyttig for å forhindre lekkasjer av informasjon om de forespurte vertsnavnene gjennom DNS-serverne til leverandører, bekjempe MITM-angrep og DNS-trafikk-spoofing (for eksempel når du kobler til offentlig Wi-Fi), motvirke blokkering på DNS. nivå (DoH kan ikke erstatte en VPN i området for å omgå blokkering implementert på DPI-nivå) eller for organisering av arbeid hvis det er umulig å få direkte tilgang til DNS-servere (for eksempel når du arbeider gjennom en proxy).
Hvis DNS-forespørsler i en normal situasjon sendes direkte til DNS-servere som er definert i systemkonfigurasjonen, er forespørselen om å bestemme vertens IP-adresse, i tilfelle av DoH, innkapslet i HTTPS-trafikk og sendt til HTTP-serveren, hvor løseren behandler forespørsler via web-API. Den eksisterende DNSSEC-standarden bruker kryptering kun for å autentisere klienten og serveren, men beskytter ikke trafikk mot avlytting og garanterer ikke konfidensialiteten til forespørsler. For tiden ca støtte DoH.
Kilde: opennet.ru