商业协会 , и ,捍卫互联网提供商的利益, 向美国国会请求关注“DNS over HTTPS”(DoH,DNS over HTTPS)的实施问题,并要求谷歌提供有关在其产品中启用 DoH 的当前和未来计划的详细信息,以及获得承诺,在未事先与生态系统其他成员充分讨论并考虑可能的负面后果的情况下,不会在 Chrome 和 Android 中默认启用集中处理 DNS 请求。
了解对 DNS 流量使用加密的总体好处后,协会认为将名称解析的控制集中在一只手上并默认将此机制链接到集中式 DNS 服务是不可接受的。特别是,有人认为,谷歌正朝着在 Android 和 Chrome 中默认引入 DoH 的方向发展,如果与谷歌服务器绑定,这将打破 DNS 基础设施的去中心化性质并造成单点故障。
由于 Chrome 和 Android 占据市场主导地位,如果他们强行使用 DoH 服务器,谷歌将能够控制大多数用户 DNS 查询流。除了降低基础设施的可靠性之外,此举还将使谷歌相对于竞争对手获得不公平的优势,因为该公司将收到有关用户操作的额外信息,这些信息可用于跟踪用户活动并选择相关广告。
卫生部还可能扰乱家长控制系统、访问企业系统中的内部命名空间、内容交付优化系统中的路由以及遵守法院针对非法内容分发和剥削未成年人的命令等领域。 DNS 欺骗还经常用于将用户重定向到包含有关订户资金结束信息的页面或登录无线网络。
谷歌 ,这种担心是没有根据的,因为 Chrome 和 Android 中不会默认启用 DoH。 在 Chrome 78 中,默认情况下,仅对使用 DNS 提供商配置设置的用户启用 DoH,这些提供商提供了使用 DoH 作为传统 DNS 替代方案的选项。对于使用本地 ISP 提供的 DNS 服务器的用户,DNS 查询将继续通过系统解析器发送。那些。 Google 的行动仅限于用同等服务替换当前提供商,以切换到使用 DNS 的安全方法。 Firefox 也计划实验性地纳入 DoH,但与 Google 不同的是,Mozilla 默认 DNS 服务器是 CloudFlare。这种做法已经引起了 来自 OpenBSD 项目。
让我们回想一下,DoH 可用于防止通过提供商的 DNS 服务器泄漏有关所请求主机名的信息、对抗 MITM 攻击和 DNS 流量欺骗(例如,当连接到公共 Wi-Fi 时)、对抗 DNS 阻塞如果无法直接访问 DNS 服务器(例如,通过代理工作时),DoH 无法在绕过 DPI 级别实施的阻止方面取代 VPN)或用于组织工作。
如果在正常情况下 DNS 请求直接发送到系统配置中定义的 DNS 服务器,那么在 DoH 的情况下,确定主机 IP 地址的请求将封装在 HTTPS 流量中并发送到 HTTP 服务器,解析器在其中处理通过 Web API 发出请求。现有的DNSSEC标准仅使用加密来验证客户端和服务器,但不能保护流量不被拦截,也不能保证请求的机密性。目前关于 支持卫生部。
来源: opennet.ru