Как DNS через HTTPS (DoH) повысит конфиденциальность в Интернете

Такие компании, как Microsoft, Google и Mozilla, продвигают DNS через HTTPS (DoH). Эта технология будет шифровать запросы DNS, улучшая конфиденциальность и безопасность в Интернете. Но это спорно: Comcast лоббирует против него. Вот что вам нужно знать.

Что такое DNS через HTTPS?

Интернет стремится к шифрованию всего по умолчанию. На данный момент большинство веб-сайтов, к которым вы обращаетесь, вероятно, используют шифрование HTTPS. Современные веб-браузеры, такие, как Chrome, теперь помечают любые сайты, использующие стандартный HTTP, как «небезопасные». HTTP/3, новая версия протокола HTTP, имеет встроенное шифрование.

Это шифрование гарантирует, что никто не сможет вмешаться в работу веб-страницы, пока вы её просматриваете, или следить за тем, что вы делаете в Интернете. Например, если вы подключаетесь к Wikipedia.org, оператор сети — будь то общедоступная точка доступа Wi-Fi компании или ваш интернет-провайдер — может видеть только то, что вы подключены к wikipedia.org. Они не видят, какую статью вы читаете, и не могут изменять содержимое передаваемой вам информации (например, чтобы вставить рекламу).

Но в стремлении к шифрованию DNS остался позади. Система доменных имён позволяет подключаться к веб-сайтам через их доменные имена, а не с помощью числовых IP-адресов. Вы вводите доменное имя, например google.com, и ваша система свяжется со своим настроенным DNS-сервером, чтобы получить IP-адрес, связанный с google.com. Затем браузер подключится к этому IP-адресу.

До сих пор эти запросы DNS не были зашифрованы. Когда вы подключаетесь к веб-сайту, ваша система запускает запрос о том, что вы ищете IP-адрес, связанный с этим доменом. Любой, кто находится между ними — возможно, ваш интернет-провайдер, но, возможно, также просто общедоступная точка доступа Wi-Fi, регистрирующая трафик — может регистрировать, к каким доменам вы подключаетесь.

DNS через HTTPS делает невозможным этот надзор. При использовании DNS через HTTPS ваша система установит безопасное зашифрованное соединение с вашим DNS-сервером и будет передавать запрос и ответ через это соединение. Все, кто находится между ними, не смогут увидеть, какие доменные имена вы ищете, или вмешаться в ответ.

Сегодня большинство людей используют DNS-серверы, предоставленные их интернет-провайдером. Однако существует множество сторонних DNS-серверов, таких как Cloudflare 1.1.1.1, Google Public DNS и OpenDNS. Эти сторонние поставщики одними из первых включили поддержку DNS через HTTPS на стороне сервера. Чтобы использовать DNS через HTTPS, вам понадобится как DNS-сервер, так и клиент (например, веб-браузер или операционная система), который его поддерживает.

Связанные статьи: Как работают компьютерные сети

Кто это поддержит?

Google и Mozilla уже тестируют DNS через HTTPS в Google Chrome и Mozilla Firefox. 17 ноября 2019 года Microsoft объявила, что будет внедрять DNS через HTTPS в сетевой стек Windows. Это гарантирует, что каждое приложение в Windows будет использовать DNS over HTTPS даже если это не предусмотрено в функциях приложения.

Google заявляет, что он будет включать DoH по умолчанию для 1% пользователей, начиная с Chrome 79. Теперь вы сможете перейти на chrome://flags/#dns-over-https, чтобы включить его.

Mozilla заявляет, что в 2019 году включит DNS через HTTPS для всех. В текущей стабильной версии Firefox сегодня вы можете перейти в меню → Параметры → Общие, прокрутить вниз и нажать «Настройки» в разделе «Параметры сети», чтобы найти эту опцию. Активируйте «Включить DNS через HTTPS».

Apple ещё не прокомментировала планы по использованию DNS через HTTPS, но мы ожидали, что компания последует и внедрит поддержку в iOS и macOS вместе с остальной частью отрасли.

Он ещё не включён по умолчанию для всех, но DNS через HTTPS должен сделать использование Интернета более конфиденциальным и безопасным после его завершения.

Почему Comcast лоббирует против этого?

Контраргументы не выглядят убедительными, но они есть. Comcast, по-видимому, лоббирует конгресс, чтобы помешать Google развёртывать DNS через HTTPS.

В презентации, представленной законодателям и полученной Motherboard, Comcast утверждает, что Google преследует «односторонние планы» («вместе с Mozilla») по активации DoH и «[централизации] большей части мировых данных DNS с помощью Google», что «отметит фундаментальный сдвиг в децентрализованном характере архитектуры Интернета».

Откровенно говоря, многое из этого неверно. Маршелл Эрвин из Mozilla сказал Motherboard, что «в целом слайды крайне неверны и неточны». В своём сообщении в блоге менеджер по продукту Chrome Кенджи Бихе отмечает, что Google Chrome не будет заставлять кого-либо менять своего поставщика DNS. Chrome будет подчиняться текущему поставщику DNS системы. Если он не поддерживает DNS через HTTPS, Chrome не будет использовать DNS через HTTPS.

И с тех пор Microsoft объявила о планах поддержки DoH на уровне операционной системы Windows. С учётом того, что Microsoft, Google и Mozilla используют его, это вряд ли «односторонняя» схема со стороны Google.

Некоторые предположили, что Comcast не любит DoH, потому что он больше не может собирать данные поиска DNS. Однако Comcast пообещал, что не шпионит за вашими поисковыми запросами в DNS. Компания настаивает на том, что поддерживает шифрование DNS, но хочет «совместного отраслевого решения», а не «односторонних действий». Обмен сообщениями Comcast беспорядочный — его аргументы против DNS через HTTPS явно адресованы законодателям, а не общественности.

Как будет работать DNS через HTTPS?

Оставив в стороне странные возражения Comcast, давайте посмотрим, как на самом деле будет работать DNS поверх HTTPS. Когда поддержка DoH появится в Chrome, Chrome будет использовать DNS через HTTPS, только если текущий DNS-сервер системы поддерживает это.

Другими словами, если у вас есть Comcast в качестве интернет-провайдера, а Comcast отказывается поддерживать DoH, Chrome будет работать так же, как сегодня, без шифрования ваших запросов DNS. Если у вас настроен другой DNS-сервер — возможно, вы выбрали Cloudflare DNS, Google Public DNS или OpenDNS, или, возможно, DNS-серверы вашего интернет-провайдера действительно поддерживают DoH - Chrome будет использовать шифрование для связи с вашим текущим DNS-сервером, автоматически «обновляя» подключение. Пользователи могут отказаться от поставщиков DNS, которые не поддерживают DoH, например, от Comcast, но Chrome не сделает этого автоматически.

Это также означает, что любые решения для фильтрации контента, использующие DNS, не будут прерваны. Если вы используете OpenDNS и настроите блокировку определённых веб-сайтов, Chrome оставит OpenDNS в качестве DNS-сервера по умолчанию, и ничего не изменится.

Firefox работает немного иначе. Mozilla выбрала Cloudflare в качестве провайдера зашифрованного DNS для Firefox в США. Даже если у вас настроен другой DNS-сервер, Firefox будет отправлять ваши DNS-запросы на DNS-сервер Cloudflare 1.1.1.1. Firefox позволит вам отключить это или использовать собственный зашифрованный DNS-провайдер, но Cloudflare будет по умолчанию.

Microsoft заявляет, что DNS через HTTPS в Windows 10 будет работать аналогично Chrome. Windows 10 будет подчиняться вашему DNS-серверу по умолчанию и включать DoH только в том случае, если выбранный вами DNS-сервер поддерживает его. Тем не менее, Microsoft заявляет, что будет направлять «пользователей и администраторов Windows, заботящихся о конфиденциальности», по настройке DNS-сервера.

Windows 10 может побудить вас переключить DNS-серверы на тот, который защищён с помощью DoH, но Microsoft заявляет, что Windows не сделает этого за вас.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

wp-puzzle.com logo