Hiệp hội Thương mại , и , bảo vệ lợi ích của các nhà cung cấp Internet, tới Quốc hội Hoa Kỳ với yêu cầu chú ý đến vấn đề triển khai “DNS qua HTTPS” (DoH, DNS qua HTTPS) và yêu cầu Google cung cấp thông tin chi tiết về các kế hoạch hiện tại và tương lai để kích hoạt DoH trong các sản phẩm của mình, cũng như đạt được cam kết không cho phép tập trung hóa theo mặc định Xử lý các yêu cầu DNS trong Chrome và Android mà không thảo luận đầy đủ trước với các thành viên khác trong hệ sinh thái và tính đến các hậu quả tiêu cực có thể xảy ra.
Hiểu được lợi ích tổng thể của việc sử dụng mã hóa cho lưu lượng DNS, các hiệp hội cho rằng việc tập trung quyền kiểm soát độ phân giải tên vào một tay và liên kết cơ chế này theo mặc định với các dịch vụ DNS tập trung là không thể chấp nhận được. Cụ thể, có ý kiến cho rằng Google đang hướng tới việc giới thiệu DoH theo mặc định trong Android và Chrome, nếu bị ràng buộc với các máy chủ của Google, sẽ phá vỡ tính chất phi tập trung của cơ sở hạ tầng DNS và tạo ra một điểm lỗi duy nhất.
Vì Chrome và Android thống trị thị trường nên nếu họ áp đặt máy chủ DoH của mình, Google sẽ có thể kiểm soát phần lớn luồng truy vấn DNS của người dùng. Ngoài việc làm giảm độ tin cậy của cơ sở hạ tầng, động thái như vậy cũng sẽ mang lại cho Google lợi thế không công bằng so với các đối thủ cạnh tranh, vì công ty sẽ nhận được thông tin bổ sung về hành động của người dùng. Thông tin này có thể được sử dụng để theo dõi hoạt động của người dùng và chọn quảng cáo có liên quan.
DoH cũng có thể phá vỡ các lĩnh vực như hệ thống kiểm soát của phụ huynh, quyền truy cập vào không gian tên nội bộ trong hệ thống doanh nghiệp, định tuyến trong hệ thống tối ưu hóa phân phối nội dung và tuân thủ lệnh của tòa án chống lại việc phân phối nội dung bất hợp pháp và khai thác trẻ vị thành niên. Việc giả mạo DNS cũng thường được sử dụng để chuyển hướng người dùng đến một trang có thông tin về việc hết tiền của người đăng ký hoặc để đăng nhập vào mạng không dây.
Google , rằng những lo ngại đó là vô căn cứ vì nó sẽ không kích hoạt DoH theo mặc định trong Chrome và Android. Trong Chrome 78, DoH sẽ chỉ được bật thử nghiệm theo mặc định cho những người dùng có cài đặt được định cấu hình với các nhà cung cấp DNS cung cấp tùy chọn sử dụng DoH thay thế cho DNS truyền thống. Đối với những người sử dụng máy chủ DNS cục bộ do ISP cung cấp, các truy vấn DNS sẽ tiếp tục được gửi qua trình phân giải hệ thống. Những thứ kia. Hành động của Google chỉ giới hạn ở việc thay thế nhà cung cấp hiện tại bằng một dịch vụ tương đương để chuyển sang phương thức làm việc an toàn với DNS. Việc đưa DoH vào thử nghiệm cũng được dự kiến cho Firefox, nhưng không giống như Google, Mozilla máy chủ DNS mặc định là CloudFlare. Cách tiếp cận này đã gây ra từ dự án OpenBSD.
Chúng ta hãy nhớ lại rằng DoH có thể hữu ích trong việc ngăn chặn rò rỉ thông tin về tên máy chủ được yêu cầu thông qua máy chủ DNS của nhà cung cấp, chống lại các cuộc tấn công MITM và giả mạo lưu lượng DNS (ví dụ: khi kết nối với Wi-Fi công cộng), chống chặn tại DNS cấp độ (DoH không thể thay thế VPN trong lĩnh vực vượt qua chặn được triển khai ở cấp độ DPI) hoặc để tổ chức công việc nếu không thể truy cập trực tiếp vào máy chủ DNS (ví dụ: khi làm việc thông qua proxy).
Nếu trong tình huống bình thường, các yêu cầu DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống thì trong trường hợp DoH, yêu cầu xác định địa chỉ IP của máy chủ được gói gọn trong lưu lượng HTTPS và gửi đến máy chủ HTTP, nơi trình phân giải xử lý yêu cầu thông qua API Web. Tiêu chuẩn DNSSEC hiện tại chỉ sử dụng mã hóa để xác thực máy khách và máy chủ nhưng không bảo vệ lưu lượng truy cập khỏi bị chặn và không đảm bảo tính bảo mật của các yêu cầu. Hiện tại về ủng hộ DoH.
Nguồn: opennet.ru