商業協會 , и ,捍衛網路供應商的利益, 向美國國會請求關注“DNS over HTTPS”(DoH,DNS over HTTPS)的實施問題,並要求谷歌提供有關在其產品中啟用 DoH 的當前和未來計劃的詳細信息,以及獲得承諾,在未事先與生態系統其他成員充分討論並考慮可能的負面後果的情況下,不在Chrome 和Android 中預設啟用集中處理DNS 請求。
在了解對 DNS 流量使用加密的整體好處後,協會認為將名稱解析集中控制集中在一隻手上並預設將此機制連結到集中式 DNS 服務是不可接受的。特別是,有人認為,谷歌正朝著在 Android 和 Chrome 中默認引入 DoH 的方向發展,如果與谷歌伺服器綁定,將打破 DNS 基礎設施的去中心化性質並造成單點故障。
由於 Chrome 和 Android 佔據市場主導地位,如果他們強行使用 DoH 伺服器,Google將能夠控制大多數用戶 DNS 查詢流。除了降低基礎設施的可靠性之外,此舉還將使谷歌相對於競爭對手獲得不公平的優勢,因為該公司將收到有關用戶操作的額外信息,這些信息可用於跟踪用戶活動並選擇相關廣告。
衛生部還可能擾亂家長控制系統、存取企業系統中的內部命名空間、內容交付優化系統中的路由以及遵守法院針對非法內容分發和剝削未成年人的命令等領域。 DNS 欺騙也經常用於將使用者重新導向到包含有關訂戶資金結束資訊的頁面或登入無線網路。
谷歌 ,這種擔心是沒有根據的,因為 Chrome 和 Android 中不會預設啟用 DoH。 在 Chrome 78 中,預設情況下,僅對使用 DNS 提供者配置設定的使用者啟用 DoH,這些提供者提供了使用 DoH 作為傳統 DNS 替代方案的選項。對於使用本機 ISP 提供的 DNS 伺服器的用戶,DNS 查詢將繼續透過系統解析器傳送。那些。 Google 的行動僅限於以同等服務取代目前供應商,以切換到使用 DNS 的安全方法。 Firefox 也計劃實驗性地納入 DoH,但與 Google 不同的是,Mozilla 預設 DNS 伺服器是 CloudFlare。這種做法已經引起了 來自 OpenBSD 專案。
讓我們回想一下,DoH 可用於防止透過提供者的 DNS 伺服器洩漏有關所請求主機名稱的資訊、對抗 MITM 攻擊和 DNS 流量欺騙(例如,在連接到公共 Wi-Fi 時)、對抗 DNS 阻塞如果無法直接存取DNS 伺服器(例如,透過代理程式工作時),DoH 無法在繞過DPI 層級實施的封鎖方面取代VPN)或用於組織工作。
如果在正常情況下 DNS 請求直接傳送到系統設定中定義的 DNS 伺服器,那麼在 DoH 的情況下,確定主機 IP 位址的請求將封裝在 HTTPS 流量中並傳送到 HTTP 伺服器,解析器在其中處理透過Web API 發出請求。現有的DNSSEC標準僅使用加密來驗證客戶端和伺服器,但不能保護流量不被攔截,也不能保證請求的機密性。目前關於 支持衛生部。
來源: opennet.ru