Handelsförbund , и , försvara internetleverantörernas intressen, till den amerikanska kongressen med en begäran att uppmärksamma problemet med implementeringen av "DNS over HTTPS" (DoH, DNS over HTTPS) och begära från Google detaljerad information om nuvarande och framtida planer för att aktivera DoH i sina produkter, samt få ett åtagande att inte aktivera centraliserad som standard Bearbetning av DNS-förfrågningar i Chrome och Android utan föregående fullständig diskussion med andra medlemmar av ekosystemet och med hänsyn till eventuella negativa konsekvenser.
För att förstå den övergripande fördelen med att använda kryptering för DNS-trafik anser föreningarna att det är oacceptabelt att koncentrera kontrollen över namnupplösning på en hand och koppla denna mekanism som standard till centraliserade DNS-tjänster. Speciellt hävdas det att Google går mot att introducera DoH som standard i Android och Chrome, vilket, om det kopplas till Googles servrar, skulle bryta den decentraliserade karaktären hos DNS-infrastrukturen och skapa en enda punkt av misslyckande.
Eftersom Chrome och Android dominerar marknaden, om de inför sina DoH-servrar, kommer Google att kunna kontrollera majoriteten av användarens DNS-frågeflöden. Förutom att minska tillförlitligheten hos infrastrukturen skulle ett sådant drag också ge Google en orättvis fördel gentemot konkurrenterna, eftersom företaget skulle få ytterligare information om användaråtgärder, som skulle kunna användas för att spåra användaraktivitet och välja relevant reklam.
DoH kan också störa områden som föräldrakontrollsystem, tillgång till interna namnområden i företagssystem, routing i optimeringssystem för innehållsleverans och efterlevnad av domstolsbeslut mot distribution av olagligt innehåll och utnyttjande av minderåriga. DNS-spoofing används också ofta för att omdirigera användare till en sida med information om slut på medel hos abonnenten eller för att logga in på ett trådlöst nätverk.
Google , att farhågorna är ogrundade, eftersom det inte kommer att aktivera DoH som standard i Chrome och Android. I Chrome 78 kommer DoH att experimentellt aktiveras som standard endast för användare vars inställningar är konfigurerade med DNS-leverantörer som ger möjlighet att använda DoH som ett alternativ till traditionell DNS. För de som använder lokala ISP-försedda DNS-servrar kommer DNS-frågor att fortsätta att skickas via systemlösaren. De där. Googles åtgärder är begränsade till att ersätta den nuvarande leverantören med en likvärdig tjänst för att byta till en säker metod för att arbeta med DNS. Experimentell inkludering av DoH är också planerad för Firefox, men till skillnad från Google, Mozilla standard DNS-server är CloudFlare. Detta tillvägagångssätt har redan orsakat från OpenBSD-projektet.
Låt oss komma ihåg att DoH kan vara användbart för att förhindra läckor av information om de begärda värdnamnen genom leverantörernas DNS-servrar, bekämpa MITM-attacker och DNS-trafikförfalskning (till exempel vid anslutning till offentligt Wi-Fi), motverka blockering på DNS nivå (DoH kan inte ersätta en VPN inom området för att kringgå blockering implementerad på DPI-nivå) eller för att organisera arbete om det är omöjligt att direkt komma åt DNS-servrar (till exempel när du arbetar via en proxy).
Om DNS-förfrågningar i en normal situation skickas direkt till DNS-servrar definierade i systemkonfigurationen, då i fallet med DoH, är begäran om att fastställa värdens IP-adress inkapslad i HTTPS-trafik och skickas till HTTP-servern, där resolvern bearbetar förfrågningar via webb-API. Den befintliga DNSSEC-standarden använder endast kryptering för att autentisera klienten och servern, men skyddar inte trafik från avlyssning och garanterar inte konfidentialitet för förfrågningar. För närvarande ca stödja DoH.
Källa: opennet.ru