Associações comerciais , и , defendendo os interesses dos provedores de Internet, ao Congresso dos EUA com um pedido para prestar atenção ao problema com a implementação de “DNS sobre HTTPS” (DoH, DNS sobre HTTPS) e solicitar ao Google informações detalhadas sobre os planos atuais e futuros para habilitar o DoH em seus produtos, bem como obter o compromisso de não ativar o processamento centralizado por padrão de solicitações de DNS no Chrome e no Android sem discussão prévia e completa com outros membros do ecossistema e levando em consideração possíveis consequências negativas.
Compreendendo o benefício geral do uso da criptografia para o tráfego DNS, as associações consideram inaceitável concentrar o controle sobre a resolução de nomes em uma mão e vincular esse mecanismo por padrão a serviços DNS centralizados. Em particular, argumenta-se que a Google está a avançar no sentido da introdução do DoH por defeito no Android e no Chrome, o que, se ligado aos servidores da Google, quebraria a natureza descentralizada da infra-estrutura DNS e criaria um ponto único de falha.
Como o Chrome e o Android dominam o mercado, se imporem seus servidores DoH, o Google será capaz de controlar a maioria dos fluxos de consulta DNS dos usuários. Além de reduzir a fiabilidade da infraestrutura, tal medida também daria à Google uma vantagem injusta sobre os concorrentes, uma vez que a empresa receberia informações adicionais sobre as ações dos utilizadores, que poderiam ser utilizadas para monitorizar a atividade dos utilizadores e selecionar publicidade relevante.
O DoH também pode perturbar áreas como os sistemas de controlo parental, o acesso a namespaces internos em sistemas empresariais, o encaminhamento em sistemas de otimização de entrega de conteúdos e o cumprimento de ordens judiciais contra a distribuição de conteúdos ilegais e a exploração de menores. A falsificação de DNS também é frequentemente usada para redirecionar os usuários para uma página com informações sobre o fim dos fundos do assinante ou para fazer login em uma rede sem fio.
Google , que os temores são infundados, uma vez que não vai habilitar o DoH por padrão no Chrome e no Android. No Chrome 78, o DoH será ativado experimentalmente por padrão apenas para usuários cujas configurações estejam definidas com provedores de DNS que oferecem a opção de usar o DoH como alternativa ao DNS tradicional. Para aqueles que usam servidores DNS locais fornecidos pelo ISP, as consultas DNS continuarão a ser enviadas através do resolvedor do sistema. Aqueles. As ações do Google limitam-se a substituir o provedor atual por um serviço equivalente para mudar para um método seguro de trabalhar com DNS. A inclusão experimental do DoH também está prevista para o Firefox, mas ao contrário do Google, Mozilla o servidor DNS padrão é CloudFlare. Esta abordagem já causou do projeto OpenBSD.
Lembremos que o DoH pode ser útil para prevenir vazamentos de informações sobre os nomes de host solicitados através dos servidores DNS dos provedores, combater ataques MITM e falsificação de tráfego DNS (por exemplo, ao conectar-se a redes Wi-Fi públicas), combater o bloqueio no DNS nível (o DoH não pode substituir uma VPN na área de contornar o bloqueio implementado no nível DPI) ou para organizar o trabalho se for impossível acessar diretamente os servidores DNS (por exemplo, ao trabalhar através de um proxy).
Se em uma situação normal as solicitações DNS são enviadas diretamente aos servidores DNS definidos na configuração do sistema, então no caso do DoH, a solicitação para determinar o endereço IP do host é encapsulada no tráfego HTTPS e enviada ao servidor HTTP, onde o resolvedor processa solicitações por meio da API da Web. O padrão DNSSEC existente utiliza criptografia apenas para autenticar o cliente e o servidor, mas não protege o tráfego contra interceptação e não garante a confidencialidade das solicitações. Atualmente cerca de apoiar DoH.
Fonte: opennet.ru