Як DNS через HTTPS (DoH) підвищить конфіденційність в Інтернеті

Такі компанії, як Microsoft, Google і Mozilla, просувають DNS через HTTPS (DoH). Ця технологія буде шифрувати запити DNS, покращуючи конфіденційність і безпеку в Інтернеті. Але це спірно: Comcast лобіює проти цього. Ось що вам потрібно знати.

Що таке DNS через HTTPS?

Мережа намагається шифрувати все за замовчуванням. На даний момент більшість веб-сайтів, до яких ви отримуєте доступ, імовірно, використовують шифрування HTTPS. Сучасні веб-браузери, такі як Chrome, тепер позначають будь-які сайти, які використовують стандартний HTTP, як «небезпечні». HTTP/3, нова версія протоколу HTTP, має вбудоване шифрування.

Це шифрування гарантує, що ніхто не зможе втрутитися в веб-сторінку, поки ви її переглядаєте, або стежити за тим, що ви робите в Інтернеті. Наприклад, якщо ви підключитеся до Wikipedia.org, оператор мережі — будь то загальнодоступна точка доступу Wi-Fi компанії чи ваш провайдер — може бачити лише те, що ви підключені до wikipedia.org. Вони не можуть бачити, яку статтю ви читаєте, і вони не можуть змінювати статтю Вікіпедії в дорозі.

Але в поштовхі до шифрування DNS залишився позаду. Система доменних імен дає змогу підключатися до веб-сайтів через їхні доменні імена, а не за допомогою цифрових IP-адрес. Ви вводите доменне ім’я, наприклад google.com, і ваша система зв’яжеться зі своїм налаштованим DNS-сервером, щоб отримати IP-адресу, пов’язану з google.com. Потім він підключиться до цієї IP-адреси.

До цього часу ці пошукові запити DNS не були зашифровані. Коли ви підключаєтеся до веб-сайту, ваша система запускає запит, у якому говориться, що ви шукаєте IP-адресу, пов’язану з цим доменом. Будь-хто між ними — можливо, ваш провайдер, але, можливо, і лише трафік реєстрації загальнодоступної точки доступу Wi-Fi — може реєструвати, до яких доменів ви підключаєтеся.

  Як шукати в усіх службах потокового передавання фільму чи телешоу

DNS через HTTPS закриває цю помилку. Коли DNS через HTTPS, ваша система встановить безпечне, зашифроване з’єднання з вашим DNS-сервером і передасть запит і відповідь через це з’єднання. Будь-яка особа, яка знаходиться між ними, не зможе побачити, які доменні імена ви шукаєте, або змінити відповідь.

Сьогодні більшість людей використовують DNS-сервери, надані їхнім постачальником послуг Інтернету. Однак існує багато сторонніх DNS-серверів, таких як Cloudflare 1.1.1.1, Google Public DNS, і OpenDNS. Ці сторонні постачальники є одними з перших, хто ввімкнув підтримку DNS через HTTPS на стороні сервера. Щоб використовувати DNS через HTTPS, вам знадобиться сервер DNS і клієнт (наприклад, веб-браузер або операційна система), які його підтримують.

Хто це підтримає?

Google і Mozilla вже тестують DNS через HTTPS в Google Chrome і Mozilla Firefox. 17 листопада 2019 р. Microsoft оголосила це буде використовувати DNS через HTTPS в мережевому стеку Windows. Це гарантує, що кожна програма в Windows отримає переваги DNS над HTTPS без явного кодування для його підтримки.

Google каже він увімкне DoH за замовчуванням для 1% користувачів, починаючи з Chrome 79, випуск якого очікується 10 грудня 2019 року. Коли ця версія буде випущена, ви також зможете перейти на сторінку chrome://flags/#dns-over -https, щоб увімкнути його.

Mozilla каже це дозволить DNS через HTTPS для всіх у 2019 році. У поточній стабільній версії Firefox сьогодні ви можете перейти до меню > Параметри > Загальні, прокрутити вниз і натиснути «Налаштування» у розділі «Налаштування мережі», щоб знайти цю опцію. Активуйте «Увімкнути DNS через HTTPS».

Apple поки не прокоментувала плани щодо DNS через HTTPS, але ми очікували, що компанія надасть підтримку в iOS і macOS разом з рештою індустрії.y

Він ще не ввімкнено за замовчуванням для всіх, але DNS через HTTPS повинен зробити використання Інтернету більш конфіденційним і безпечним після його завершення.

  Як перейменувати закладку в MS Word 2013

Чому Comcast лобіює проти цього?

Поки що це не звучить дуже суперечливо, але це так. Comcast, очевидно, лобіює конгрес, щоб зупинити Google від розгортання DNS через HTTPS.

У презентації, представленій законодавцям та отриманій материнська плата, Comcast стверджує, що Google переслідує «односторонні плани» («разом з Mozilla») щодо активації DoH та «[centralize] більшість глобальних даних DNS з Google», що «ознаменує фундаментальний зрушення в децентралізованій природі архітектури Інтернету».

Багато з цього, чесно кажучи, неправда. Маршел Ервін з Mozilla сказав Mozilla Motherboard, що «загалом слайди вкрай оманливі та неточні». У дописі в блозі менеджер з продуктів Chrome Кенджі Біо вказує на те що Google Chrome нікого не змушуватиме змінювати свого постачальника DNS. Chrome підкорятиметься поточному постачальнику DNS системи — якщо він не підтримує DNS через HTTPS, Chrome не використовуватиме DNS через HTTPS.

І з того часу Microsoft оголосила про плани підтримки DoH на рівні операційної системи Windows. Оскільки Microsoft, Google і Mozilla приймають це, це навряд чи є «односторонньою» схемою від Google.

Деякі припускають, що Comcast не любить DoH, оскільки він більше не може збирати дані пошуку DNS. Однак у Comcast є обіцяв він не стежить за вашими пошуками DNS. Компанія наполягає, що підтримує зашифрований DNS, але хоче «спільне рішення для всієї галузі», а не «односторонні дії». Повідомлення Comcast безладні — його аргументи проти DNS через HTTPS були явно спрямовані на очі законодавців, а не на громадськість.

Як працюватиме DNS через HTTPS?

Відкидаючи дивні заперечення Comcast, давайте подивимося, як насправді працюватиме DNS через HTTPS. Коли підтримка DoH запрацює в Chrome, Chrome використовуватиме DNS через HTTPS, лише якщо поточний DNS-сервер системи підтримує це.

Іншими словами, якщо у вас є Comcast як постачальник послуг Інтернету, а Comcast відмовляється підтримувати DoH, Chrome працюватиме так само, як сьогодні, без шифрування ваших запитів DNS. Якщо у вас налаштовано інший DNS-сервер — можливо, ви вибрали Cloudflare DNS, Google Public DNS або OpenDNS, або, можливо, DNS-сервери вашого провайдера підтримують DoH — Chrome використовуватиме шифрування для спілкування з вашим поточним DNS-сервером, автоматично «оновлюючи» підключення. Користувачі можуть відмовитися від постачальників DNS, які не пропонують DoH, як-от Comcast, але Chrome не зробить цього автоматично.

  Як додати або видалити облікові записи електронної пошти в Mail для Mac

Це також означає, що будь-які рішення фільтрації вмісту, які використовують DNS, не будуть перервані. Якщо ви використовуєте OpenDNS і налаштуєте блокування певних веб-сайтів, Chrome залишить OpenDNS як DNS-сервер за замовчуванням, і нічого не зміниться.

Firefox працює трохи інакше. Mozilla вирішила використовувати Cloudflare як постачальника шифрованого DNS Firefox у США. Навіть якщо у вас налаштовано інший DNS-сервер, Firefox надсилатиме ваші DNS-запити на DNS-сервер Cloudflare 1.1.1.1. Firefox дозволить вам вимкнути це або використовувати користувацький зашифрований DNS-провайдер, але Cloudflare буде за замовчуванням.

Microsoft каже, що DNS через HTTPS у Windows 10 працюватиме так само, як і Chrome. Windows 10 буде підкорятися вашому DNS-серверу за замовчуванням і вмикати DoH, лише якщо ваш DNS-сервер підтримує його. Однак Microsoft стверджує, що направить «користувачів та адміністраторів Windows, які піклуються про конфіденційність», до налаштувань DNS-сервера.

Windows 10 може заохочувати вас переключити DNS-сервер на той, який захищений за допомогою DoH, але Microsoft каже, що Windows не зробить перехід за вас.