Торгові асоціації , и , що відстоюють інтереси інтернет-провайдерів, до Конгресу США з проханням звернути увагу на проблему з впровадженням «DNS поверх HTTPS» (DoH, DNS over HTTPS) та запросити у Google детальну інформацію про поточні та майбутні плани щодо включення DoH у своїх продуктах, а також отримати зобов'язання не включати за промовчанням централізовану обробку DNS-запитів у Chrome та Android без попереднього всебічного обговорення з іншими представниками екосистеми та врахування можливих негативних наслідків.
Розуміючи загальну користь від застосування шифрування для DNS-трафіку, асоціації вважають неприпустимим зосередження контролю над перетворенням імен в одних руках і прив'язку даного механізму за промовчанням до централізованих DNS-служб. Зокрема, стверджується, що Google рухається у бік введення в практику застосування DoH за замовчуванням в Android та Chrome, що у разі прив'язки до серверів Google призведе до порушення децентралізованого характеру інфраструктури DNS та виникнення єдиної точки відмови.
Оскільки Chrome та Android домінують на ринку, у разі нав'язування своїх DoH-серверів Google отримає можливість контролювати більшу частину потоків DNS-запитів користувачів. Крім зниження надійності інфраструктури подібний крок також дасть Google необґрунтовані переваги перед конкурентами, оскільки компанія отримає додаткові відомості про дії користувачів, які можуть бути використані для відстеження активності користувачів та добору релевантної реклами.
Застосування DoH також може порушити роботу в таких галузях, як системи батьківського контролю, доступ до внутрішніх просторів імен у корпоративних системах, вибір маршрутів у системах оптимізації доставки контенту та виконання судових приписів щодо протидії поширенню нелегального контенту та експлуатації неповнолітніх. Підміна DNS також часто використовується для перенаправлення користувачів на сторінку з інформацією про закінчення коштів у абонента або для входу до бездротової мережі.
компанія Google , що побоювання марні, тому що вона не збирається за замовчуванням включати DoH в Chrome та Android. в Chrome 78 експериментальне включення за умовчанням DoH охоплюватиме лише користувачів, в налаштуваннях яких вказані DNS-провайдери, що надають можливість використання DoH як альтернативу традиційним DNS. У тих, хто використовує надані локальним інтернет-провайдером DNS-сервери, запити DNS продовжать надсилатися через системний резолвер. Тобто. дії Google зводяться лише до заміни на еквівалентний сервіс поточного провайдера переходу до захищеному методу роботи з DNS. Експериментальне включення DoH також намічено у Firefox, але на відміну від Google компанія Mozilla за промовчанням DNS-сервер CloudFlare. Такий підхід уже спричинив з боку проекту OpenBSD.
Нагадаємо, що DoH може виявитися корисним для виключення витоків відомостей про запитовані імена хостів через DNS-сервери провайдерів, боротьби з MITM-атаками та заміною DNS-трафіку (наприклад, при підключенні до публічних Wi-Fi), протистояння блокуванням на рівні DNS (DoH не може замінити VPN в області обходу блокувань, реалізованих на рівні DPI або для організації роботи у разі неможливості прямого звернення до DNS-серверів (наприклад, при роботі через проксі).
Якщо у звичайній ситуації DNS-запити безпосередньо відправляються на визначені в конфігурації системи DNS-сервери, то у разі DoH запит на визначення IP-адреси хоста інкапсулюється в трафік HTTPS і відправляється на сервер HTTP, на якому резолвер обробляє запити через Web API. Існуючий стандарт DNSSEC використовує шифрування лише для автентифікації клієнта та сервера, але не захищає трафік від перехоплення та не гарантує конфіденційність запитів. В даний час близько підтримують DoH.
Джерело: opennet.ru