Stowarzyszenia branżowe , и , obrona interesów dostawców Internetu, do Kongresu USA z prośbą o zwrócenie uwagi na problem z implementacją „DNS over HTTPS” (DoH, DNS over HTTPS) i zwrócenie się do Google o szczegółowe informacje na temat obecnych i przyszłych planów włączenia DoH w swoich produktach, a także uzyskać zobowiązanie, aby nie włączać domyślnie scentralizowanego przetwarzania żądań DNS w Chrome i Androidzie bez wcześniejszej pełnej dyskusji z innymi członkami ekosystemu i uwzględnienia ewentualnych negatywnych konsekwencji.
Rozumiejąc ogólne korzyści wynikające ze stosowania szyfrowania ruchu DNS, stowarzyszenia uważają za niedopuszczalne skupianie kontroli nad rozpoznawaniem nazw w jednej ręce i domyślne łączenie tego mechanizmu ze scentralizowanymi usługami DNS. W szczególności argumentuje się, że Google zmierza w kierunku domyślnego wprowadzenia DoH w systemach Android i Chrome, co w przypadku połączenia z serwerami Google przerwałoby zdecentralizowany charakter infrastruktury DNS i utworzyłoby pojedynczy punkt awarii.
Ponieważ na rynku dominują przeglądarki Chrome i Android, jeśli narzucą swoje serwery DoH, Google będzie w stanie kontrolować większość przepływów zapytań DNS użytkowników. Oprócz zmniejszenia niezawodności infrastruktury, takie posunięcie dałoby także Google nieuczciwą przewagę nad konkurencją, gdyż firma otrzymywałaby dodatkowe informacje o działaniach użytkowników, które mogłyby zostać wykorzystane do śledzenia aktywności użytkowników i doboru odpowiednich reklam.
DoH może również zakłócać takie obszary, jak systemy kontroli rodzicielskiej, dostęp do wewnętrznych przestrzeni nazw w systemach korporacyjnych, routing w systemach optymalizacji dostarczania treści oraz przestrzeganie orzeczeń sądowych zakazujących rozpowszechniania nielegalnych treści i wykorzystywania nieletnich. DNS spoofing często wykorzystuje się także do przekierowania użytkowników na stronę z informacją o zakończeniu środków u abonenta lub do zalogowania się do sieci bezprzewodowej.
Google , że obawy są bezpodstawne, ponieważ domyślnie nie włączy DoH w Chrome i Androidzie. W przeglądarce Chrome 78 DoH będzie domyślnie włączone eksperymentalnie tylko dla użytkowników, których ustawienia są skonfigurowane u dostawców DNS zapewniających opcję używania DoH jako alternatywy dla tradycyjnego DNS. W przypadku użytkowników korzystających z lokalnych serwerów DNS dostarczonych przez dostawcę usług internetowych, zapytania DNS będą nadal wysyłane za pośrednictwem systemu rozpoznawania nazw. Te. Działania Google ograniczają się do zastąpienia dotychczasowego dostawcy równorzędną usługą w celu przejścia na bezpieczną metodę pracy z DNS. Eksperymentalne włączenie DoH jest również planowane w przeglądarce Firefox, ale w przeciwieństwie do Google, Mozilla domyślny serwer DNS to CloudFlare. Takie podejście już spowodowało z projektu OpenBSD.
Przypomnijmy, że DoH może być przydatny w zapobieganiu wyciekom informacji o żądanych nazwach hostów przez serwery DNS dostawców, zwalczaniu ataków MITM i fałszowaniu ruchu DNS (na przykład podczas łączenia się z publicznym Wi-Fi), przeciwdziałaniu blokowaniu w DNS poziomie (DoH nie może zastąpić VPN w zakresie obejścia blokad realizowanych na poziomie DPI) lub do organizacji pracy w przypadku braku możliwości bezpośredniego dostępu do serwerów DNS (np. podczas pracy przez proxy).
Jeżeli w normalnej sytuacji żądania DNS kierowane są bezpośrednio do serwerów DNS zdefiniowanych w konfiguracji systemu, to w przypadku DoH żądanie ustalenia adresu IP hosta jest hermetyzowane w ruchu HTTPS i wysyłane do serwera HTTP, gdzie resolwer przetwarza żądań za pośrednictwem interfejsu API sieci Web. Istniejący standard DNSSEC wykorzystuje szyfrowanie jedynie do uwierzytelnienia klienta i serwera, ale nie chroni ruchu przed przechwyceniem i nie gwarantuje poufności żądań. Obecnie o wspierać DoH.
Źródło: opennet.ru