Такие компании, как Microsoft, Google и Mozilla продвигаются DNS через HTTPS (DoH). Эта технология будет шифровать поиск DNS, улучшая конфиденциальность и безопасность онлайн. Но это спорно: Comcast выступает против этого. Вот что Вам нужно знать.
Что такое DNS через HTTPS
По умолчанию веб подталкивает к шифрованию всего. На этом этапе большинство веб-сайтов, к которым Вы обращаетесь, вероятно, используют шифрование HTTPS. Современные веб-браузеры, такие как Chrome, теперь помечают сайты, использующие стандартный HTTP, как «небезопасные». В HTTP/3, новой версии протокола HTTP, встроено шифрование.
Это шифрование гарантирует, что никто не сможет взломать веб-страницу, пока Вы ее просматриваете, или отследить, что Вы делаете в Интернете. Например, если Вы подключаетесь к Wikipedia.org, сетевой оператор — будь то общедоступная точка доступа Wi-Fi или Ваш интернет-провайдер — может видеть только то, что Вы подключены к wikipedia.org. Они не могут видеть, какую статью Вы читаете, и они не могут изменить статью Википедии в пути.
Но в стремлении к шифрованию DNS остался позади. Система доменных имен позволяет подключаться к веб-сайтам через их доменные имена, а не с помощью цифровых IP-адресов. Вы вводите доменное имя, например yandex.ru, и Ваша система свяжется с настроенным DNS-сервером, чтобы получить IP-адрес, связанный с yandex.ru. Затем он подключится к этому IP-адресу.
До сих пор эти DNS-запросы не были зашифрованы. Когда Вы подключаетесь к веб-сайту, Ваша система выполняет запрос, в котором говорится, что Вы ищете IP-адрес, связанный с этим доменом. Любой промежуточный пользователь — возможно, Ваш интернет-провайдер, но, возможно, просто общедоступный трафик регистрации точек доступа Wi-Fi — может регистрировать, к каким доменам Вы подключаетесь.
DNS через HTTPS закрывает эту оплошность. Когда DNS через HTTPS, Ваша система установит безопасное зашифрованное соединение с Вашим DNS-сервером и передаст запрос и ответ по этому соединению. Любой, кто находится между ними, не сможет увидеть, какие доменные имена Вы ищете, или подделать ответ.
Сегодня большинство людей используют DNS-серверы, предоставляемые их интернет-провайдером. Однако существует множество сторонних DNS-серверов, таких как Cloudflare 1.1.1.1, Google Public DNS и OpenDNS. Эти сторонние провайдеры одними из первых включили серверную поддержку DNS через HTTPS. Чтобы использовать DNS поверх HTTPS, Вам потребуется и DNS-сервер, и клиент (например, веб-браузер или операционная система), который его поддерживает.
Кто это поддерживает
Google и Mozilla уже тестируют DNS через HTTPS в Google Chrome и Mozilla Firefox. 17 ноября 2019 года Microsoft объявила, что будет использовать DNS поверх HTTPS в сетевом стеке Windows. Это гарантирует, что каждое приложение в Windows получит преимущества DNS по сравнению с HTTPS без явного кодирования для его поддержки.
Google заявляет, что по умолчанию она будет включать DoH для 1% пользователей, начиная с Chrome 79, выпуск которого ожидается 10 декабря 2019 года. Вы также сможете перейти к chrome://flags/#dns-over-https, чтобы включить его.
Mozilla заявляет, что в 2019 году DNS будет активирован для всех через HTTPS. В текущей стабильной версии Firefox сегодня Вы можете перейти в меню > Настройки > Основные, прокрутить вниз и нажать «Настроить» в разделе «Параметры сети», чтобы найти эту опцию. Активируйте «Включить DNS через HTTPS».
Apple еще не прокомментировала планы по DNS через HTTPS, но ожидается, что компания внедрит поддержку iOS и macOS вместе с остальной частью отрасли.
По умолчанию он еще не включен для всех, но DNS по HTTPS должен сделать использование Интернета более приватным и безопасным.
Почему Comcast против
Comcast, по-видимому, хочет помешать Google развернуть DNS через HTTPS.
В презентации, представленной законодателям и полученной от Motherboard, Comcast утверждает, что Google преследует «односторонние планы» («вместе с Mozilla») по активизации DoH и «[централизации] большинства глобальных данных DNS с помощью Google», что «отметит фундаментальный сдвиг в децентрализованной природе архитектуры Интернета».
Откровенно говоря, многое из этого ложно. Marshell Erwin из Mozilla сказал Motherboard, что «слайды в целом вводят в заблуждение и неточны». В своем блоге менеджер по продуктам Chrome Кенджи Бихо отмечает, что Google Chrome не будет заставлять кого-либо менять провайдера DNS. Chrome будет подчиняться текущему провайдеру DNS системы — если он не поддерживает DNS через HTTPS, Chrome не будет использовать DNS через HTTPS.
И с тех пор Microsoft объявила о планах поддержки DoH на уровне операционной системы Windows. С учетом того, что Microsoft, Google и Mozilla поддерживают это, вряд ли это будет «односторонняя» схема от Google.
Некоторые предполагают, что Comcast не любит DoH, потому что он больше не может собирать данные поиска DNS. Однако Comcast пообещал, что не будет шпионить за Вашими поисками DNS. Компания настаивает на том, что поддерживает зашифрованный DNS, но хочет использовать «совместное общеотраслевое решение», а не «односторонние действия». Сообщения Comcast беспорядочные — аргументы против DNS по HTTPS явно предназначались для глаз законодателей, а не общественности.
Как будет работать DNS через HTTPS
Не обращая внимания на странные возражения Comcast, давайте посмотрим, как на самом деле будет работать DNS через HTTPS. Когда поддержка DoH будет запущена в Chrome, Chrome будет использовать DNS поверх HTTPS, только если текущий DNS-сервер системы поддерживает это.
Другими словами, если у Ваш интернет-провайдер отказывается поддерживать DoH, Chrome будет работать так же, как и сегодня, без шифрования поиска DNS. Если у Вас настроен другой DNS-сервер — возможно, Вы выбрали Cloudflare DNS, Google Public DNS или OpenDNS, или, возможно, DNS-серверы Вашего интернет-провайдера поддерживают DoH — Chrome будет использовать шифрование для связи с Вашим текущим DNS-сервером, автоматически «обновляя» подключение. Пользователи могут отказаться от DNS-провайдеров, которые не предлагают DoH, но Chrome не сделает этого автоматически.
Это также означает, что любые решения по фильтрации контента, использующие DNS, не будут прерваны. Если Вы используете OpenDNS и настраиваете блокировку определенных веб-сайтов, Chrome оставит OpenDNS в качестве DNS-сервера по умолчанию, и ничего не изменится.
Firefox работает немного по-другому. Mozilla выбрала Cloudflare в качестве зашифрованного DNS-провайдера Firefox. Даже если у Вас настроен другой DNS-сервер, Firefox отправит Ваши DNS-запросы на DNS-сервер Cloudflare 1.1.1.1. Firefox позволит Вам отключить это или использовать настраиваемый зашифрованный DNS-провайдер, но Cloudflare будет по умолчанию.
Microsoft говорит, что DNS через HTTPS в Windows 10 будет работать аналогично Chrome. Windows 10 будет подчиняться Вашему DNS-серверу по умолчанию и включать DoH, только если Ваш DNS-сервер поддерживает это. Однако Microsoft заявляет, что она направит «пользователей и администраторов Windows, ориентированных на конфиденциальность», к настройкам DNS-сервера.
Windows 10 может побудить Вас переключить DNS-серверы на те, которые защищены с помощью DoH, но Microsoft говорит, что Windows не сделает это за Вас.
. Эта технология будет шифровать поиск DNS.){kind=link}