Як DNS через HTTPS (DoH) підвищить конфіденційність в Інтернеті

Такі компанії, як Microsoft, Google і Mozilla, просувають DNS через HTTPS (DoH). Ця технологія буде шифрувати запити DNS, покращуючи конфіденційність і безпеку в Інтернеті. Але це спірно: Comcast лобіює проти цього. Ось що вам потрібно знати.

Що таке DNS через HTTPS?

Мережа намагається шифрувати все за замовчуванням. На даний момент більшість веб-сайтів, до яких ви отримуєте доступ, імовірно, використовують шифрування HTTPS. Сучасні веб-браузери, такі як Chrome, тепер позначають будь-які сайти, які використовують стандартний HTTP, як «небезпечні». HTTP/3, нова версія протоколу HTTP, має вбудоване шифрування.

Це шифрування гарантує, що ніхто не зможе втрутитися в веб-сторінку, поки ви її переглядаєте, або стежити за тим, що ви робите в Інтернеті. Наприклад, якщо ви підключитеся до Wikipedia.org, оператор мережі — будь то загальнодоступна точка доступу Wi-Fi компанії чи ваш провайдер — може бачити лише те, що ви підключені до wikipedia.org. Вони не можуть бачити, яку статтю ви читаєте, і вони не можуть змінювати статтю Вікіпедії в дорозі.

Але в поштовхі до шифрування DNS залишився позаду. Система доменних імен дає змогу підключатися до веб-сайтів через їхні доменні імена, а не за допомогою цифрових IP-адрес. Ви вводите доменне ім’я, наприклад google.com, і ваша система зв’яжеться зі своїм налаштованим DNS-сервером, щоб отримати IP-адресу, пов’язану з google.com. Потім він підключиться до цієї IP-адреси.

До цього часу ці пошукові запити DNS не були зашифровані. Коли ви підключаєтеся до веб-сайту, ваша система запускає запит, у якому говориться, що ви шукаєте IP-адресу, пов’язану з цим доменом. Будь-хто між ними — можливо, ваш провайдер, але, можливо, і лише трафік реєстрації загальнодоступної точки доступу Wi-Fi — може реєструвати, до яких доменів ви підключаєтеся.

  Як шукати в усіх службах потокового передавання фільму чи телешоу

DNS через HTTPS закриває цю помилку. Коли DNS через HTTPS, ваша система встановить безпечне, зашифроване з’єднання з вашим DNS-сервером і передасть запит і відповідь через це з’єднання. Будь-яка особа, яка знаходиться між ними, не зможе побачити, які доменні імена ви шукаєте, або змінити відповідь.

Сьогодні більшість людей використовують DNS-сервери, надані їхнім постачальником послуг Інтернету. Однак існує багато сторонніх DNS-серверів, таких як Cloudflare 1.1.1.1, Google Public DNS, і OpenDNS. Ці сторонні постачальники є одними з перших, хто ввімкнув підтримку DNS через HTTPS на стороні сервера. Щоб використовувати DNS через HTTPS, вам знадобиться сервер DNS і клієнт (наприклад, веб-браузер або операційна система), які його підтримують.

Хто це підтримає?

Google і Mozilla вже тестують DNS через HTTPS в Google Chrome і Mozilla Firefox. 17 листопада 2019 р. Microsoft оголосила це буде використовувати DNS через HTTPS в мережевому стеку Windows. Це гарантує, що кожна програма в Windows отримає переваги DNS над HTTPS без явного кодування для його підтримки.

Google каже він увімкне DoH за замовчуванням для 1% користувачів, починаючи з Chrome 79, випуск якого очікується 10 грудня 2019 року. Коли ця версія буде випущена, ви також зможете перейти на сторінку chrome://flags/#dns-over -https, щоб увімкнути його.

Mozilla каже це дозволить DNS через HTTPS для всіх у 2019 році. У поточній стабільній версії Firefox сьогодні ви можете перейти до меню > Параметри > Загальні, прокрутити вниз і натиснути «Налаштування» у розділі «Налаштування мережі», щоб знайти цю опцію. Активуйте «Увімкнути DNS через HTTPS».

Apple поки не прокоментувала плани щодо DNS через HTTPS, але ми очікували, що компанія надасть підтримку в iOS і macOS разом з рештою індустрії.y

  Як перейменувати закладку в MS Word 2013

Він ще не ввімкнено за замовчуванням для всіх, але DNS через HTTPS повинен зробити використання Інтернету більш конфіденційним і безпечним після його завершення.

Чому Comcast лобіює проти цього?

Поки що це не звучить дуже суперечливо, але це так. Comcast, очевидно, лобіює конгрес, щоб зупинити Google від розгортання DNS через HTTPS.

У презентації, представленій законодавцям та отриманій материнська плата, Comcast стверджує, що Google переслідує «односторонні плани» («разом з Mozilla») щодо активації DoH та «[centralize] більшість глобальних даних DNS з Google», що «ознаменує фундаментальний зрушення в децентралізованій природі архітектури Інтернету».

Багато з цього, чесно кажучи, неправда. Маршел Ервін з Mozilla сказав Mozilla Motherboard, що «загалом слайди вкрай оманливі та неточні». У дописі в блозі менеджер з продуктів Chrome Кенджі Біо вказує на те що Google Chrome нікого не змушуватиме змінювати свого постачальника DNS. Chrome підкорятиметься поточному постачальнику DNS системи — якщо він не підтримує DNS через HTTPS, Chrome не використовуватиме DNS через HTTPS.

І з того часу Microsoft оголосила про плани підтримки DoH на рівні операційної системи Windows. Оскільки Microsoft, Google і Mozilla приймають це, це навряд чи є «односторонньою» схемою від Google.

Деякі припускають, що Comcast не любить DoH, оскільки він більше не може збирати дані пошуку DNS. Однак у Comcast є обіцяв він не стежить за вашими пошуками DNS. Компанія наполягає, що підтримує зашифрований DNS, але хоче «спільне рішення для всієї галузі», а не «односторонні дії». Повідомлення Comcast безладні — його аргументи проти DNS через HTTPS були явно спрямовані на очі законодавців, а не на громадськість.

Як працюватиме DNS через HTTPS?

Відкидаючи дивні заперечення Comcast, давайте подивимося, як насправді працюватиме DNS через HTTPS. Коли підтримка DoH запрацює в Chrome, Chrome використовуватиме DNS через HTTPS, лише якщо поточний DNS-сервер системи підтримує це.

  Як додати або видалити облікові записи електронної пошти в Mail для Mac

Іншими словами, якщо у вас є Comcast як постачальник послуг Інтернету, а Comcast відмовляється підтримувати DoH, Chrome працюватиме так само, як сьогодні, без шифрування ваших запитів DNS. Якщо у вас налаштовано інший DNS-сервер — можливо, ви вибрали Cloudflare DNS, Google Public DNS або OpenDNS, або, можливо, DNS-сервери вашого провайдера підтримують DoH — Chrome використовуватиме шифрування для спілкування з вашим поточним DNS-сервером, автоматично «оновлюючи» підключення. Користувачі можуть відмовитися від постачальників DNS, які не пропонують DoH, як-от Comcast, але Chrome не зробить цього автоматично.

Це також означає, що будь-які рішення фільтрації вмісту, які використовують DNS, не будуть перервані. Якщо ви використовуєте OpenDNS і налаштуєте блокування певних веб-сайтів, Chrome залишить OpenDNS як DNS-сервер за замовчуванням, і нічого не зміниться.

Firefox працює трохи інакше. Mozilla вирішила використовувати Cloudflare як постачальника шифрованого DNS Firefox у США. Навіть якщо у вас налаштовано інший DNS-сервер, Firefox надсилатиме ваші DNS-запити на DNS-сервер Cloudflare 1.1.1.1. Firefox дозволить вам вимкнути це або використовувати користувацький зашифрований DNS-провайдер, але Cloudflare буде за замовчуванням.

Microsoft каже, що DNS через HTTPS у Windows 10 працюватиме так само, як і Chrome. Windows 10 буде підкорятися вашому DNS-серверу за замовчуванням і вмикати DoH, лише якщо ваш DNS-сервер підтримує його. Однак Microsoft стверджує, що направить «користувачів та адміністраторів Windows, які піклуються про конфіденційність», до налаштувань DNS-сервера.

Windows 10 може заохочувати вас переключити DNS-сервер на той, який захищений за допомогою DoH, але Microsoft каже, що Windows не зробить перехід за вас.