Asociatii de comert , и , apărând interesele furnizorilor de internet, către Congresul SUA cu o solicitare de a acorda atenție problemei legate de implementarea „DNS over HTTPS” (DoH, DNS over HTTPS) și de a solicita de la Google informații detaliate despre planurile actuale și viitoare de a activa DoH în produsele sale, precum și obțineți angajamentul de a nu activa în mod prestabilit procesarea centralizată a solicitărilor DNS în Chrome și Android fără o discuție completă prealabilă cu alți membri ai ecosistemului și luând în considerare posibilele consecințe negative.
Înțelegând beneficiul general al utilizării criptării pentru traficul DNS, asociațiile consideră că este inacceptabil să concentreze controlul asupra rezoluției numelor într-o singură mână și să conecteze acest mecanism în mod implicit la serviciile DNS centralizate. În special, se susține că Google se îndreaptă către introducerea DoH în mod implicit în Android și Chrome, care, dacă ar fi legat de serverele Google, ar sparge natura descentralizată a infrastructurii DNS și ar crea un singur punct de eșec.
Deoarece Chrome și Android domină piața, dacă își impun serverele DoH, Google va putea controla majoritatea fluxurilor de interogări DNS ale utilizatorilor. Pe lângă reducerea fiabilității infrastructurii, o astfel de mișcare ar oferi Google și un avantaj nedrept față de concurenți, deoarece compania ar primi informații suplimentare despre acțiunile utilizatorilor, care ar putea fi folosite pentru a urmări activitatea utilizatorului și pentru a selecta publicitate relevantă.
DoH poate perturba, de asemenea, domenii precum sistemele de control parental, accesul la spațiile de nume interne din sistemele întreprinderii, rutarea în sistemele de optimizare a livrării de conținut și respectarea hotărârilor judecătorești împotriva distribuției de conținut ilegal și exploatării minorilor. Falsificarea DNS este adesea folosită pentru a redirecționa utilizatorii către o pagină cu informații despre sfârșitul fondurilor la abonat sau pentru a se conecta la o rețea wireless.
Google , că temerile sunt nefondate, deoarece nu va activa DoH în mod implicit în Chrome și Android. În Chrome 78, DoH va fi activat experimental în mod implicit numai pentru utilizatorii ale căror setări sunt configurate cu furnizori DNS care oferă opțiunea de a utiliza DoH ca alternativă la DNS tradițional. Pentru cei care folosesc servere DNS locale furnizate de ISP, interogările DNS vor continua să fie trimise prin soluția sistemului. Acestea. Acțiunile Google se limitează la înlocuirea furnizorului actual cu un serviciu echivalent pentru a trece la o metodă sigură de lucru cu DNS. Includerea experimentală a DoH este, de asemenea, programată pentru Firefox, dar spre deosebire de Google, Mozilla Serverul DNS implicit este CloudFlare. Această abordare a provocat deja din proiectul OpenBSD.
Să reamintim că DoH poate fi util pentru prevenirea scurgerilor de informații despre numele gazdelor solicitate prin serverele DNS ale furnizorilor, combaterea atacurilor MITM și a falsării traficului DNS (de exemplu, la conectarea la Wi-Fi public), contracararea blocării la DNS nivel (DoH nu poate înlocui un VPN în zona ocolirii blocării implementate la nivel DPI) sau pentru organizarea muncii dacă este imposibil să accesați direct serverele DNS (de exemplu, atunci când lucrați printr-un proxy).
Dacă într-o situație normală cererile DNS sunt trimise direct către serverele DNS definite în configurația sistemului, atunci în cazul DoH, cererea de determinare a adresei IP a gazdei este încapsulată în traficul HTTPS și trimisă către serverul HTTP, unde rezolutorul procesează solicitări prin intermediul API-ului web. Standardul DNSSEC existent folosește criptarea doar pentru a autentifica clientul și serverul, dar nu protejează traficul de interceptări și nu garantează confidențialitatea solicitărilor. Momentan despre sprijin DoH.
Sursa: opennet.ru