Провідні технологічні компанії, такі як Microsoft, Google та Mozilla, активно впроваджують протокол DNS через HTTPS (DoH). Ця технологія має на меті шифрувати DNS-запити, що сприяє підвищенню рівня конфіденційності та безпеки в Інтернеті. Проте, ця ініціатива викликає дискусії, зокрема через те, що Comcast активно виступає проти неї. Розгляньмо детальніше, що саме потрібно знати про цю технологію.
Що таке DNS через HTTPS?
Загальна тенденція в Інтернеті полягає у шифруванні з’єднань за замовчуванням. Велика кількість веб-сайтів вже використовує протокол HTTPS для шифрування трафіку. Сучасні браузери, такі як Chrome, навіть позначають сайти, що використовують звичайний HTTP, як “небезпечні”. Протокол HTTP/3, новітня версія HTTP, інтегрує шифрування за замовчуванням.
Це шифрування забезпечує захист від втручання в процес перегляду веб-сторінок та стеження за діями користувача в Інтернеті. Наприклад, під час відвідування Wikipedia.org, мережевий оператор бачить лише факт підключення до wikipedia.org, але не може відстежити, яку саме статтю ви читаєте або вносити зміни до неї.
Проте, DNS (система доменних імен) залишалась поза процесом шифрування. DNS перетворює доменні імена на IP-адреси, дозволяючи користувачам переходити на веб-сайти за їхніми іменами. Наприклад, при введенні google.com, система зв’язується з налаштованим DNS-сервером для отримання відповідної IP-адреси, а потім підключається до цього ресурсу.
Раніше ці DNS-запити не були зашифровані. Коли ви заходите на сайт, ваша система відправляє запит на отримання IP-адреси, пов’язаної з цим доменом. Будь-хто між вами та DNS-сервером – ваш інтернет-провайдер або оператор публічної Wi-Fi точки – міг би відстежувати, які домени ви відвідуєте.
DNS через HTTPS усуває цю вразливість. За допомогою DoH, ваша система встановлює безпечне зашифроване з’єднання з DNS-сервером, передаючи запити та відповіді через цей канал. Таким чином, сторонні особи не можуть бачити, які домени ви запитуєте, і не можуть втручатися у відповіді.
Сьогодні більшість користувачів використовують DNS-сервери, надані їхніми інтернет-провайдерами. Однак існують альтернативні DNS-сервери, такі як Cloudflare 1.1.1.1, Google Public DNS та OpenDNS. Ці сервери активно впроваджують підтримку DNS через HTTPS на серверному рівні. Для використання DoH необхідні як DNS-сервер, так і клієнт (веб-браузер або операційна система), які його підтримують.
Хто підтримує цю технологію?
Google та Mozilla вже проводять тестування DNS через HTTPS у браузерах Google Chrome та Mozilla Firefox. Microsoft також заявила, що впровадить DoH у мережевий стек Windows, що дозволить усім додаткам у Windows отримати переваги від цієї технології без додаткового кодування.
За словами Google, компанія почне впроваджувати DoH для 1% користувачів з випуском Chrome 79 (очікується 10 грудня 2019 року). В цій версії браузера користувачі зможуть увімкнути DoH на сторінці chrome://flags/#dns-over-https.
Mozilla повідомляє, що DNS через HTTPS буде доступним для всіх користувачів у 2019 році. У стабільній версії Firefox користувачі можуть ввімкнути цю функцію через меню “Налаштування” > “Загальні” > “Налаштування мережі”.
Apple поки не коментувала свої плани щодо DNS через HTTPS, але очікується, що компанія підтримає цю технологію в iOS та macOS.
Хоча DoH ще не є загальнодоступною за замовчуванням, ця технологія має потенціал зробити Інтернет більш приватним та безпечним.
Чому Comcast противиться DoH?
Ситуація навколо DoH не така однозначна, як здається. Comcast, провідний інтернет-провайдер, активно лобіює проти впровадження DoH компанією Google.
У презентації для законодавців, яку отримала Motherboard, Comcast стверджує, що Google має “односторонні плани” щодо активації DoH, що призведе до “[централізації] більшості глобальних DNS-даних у Google”, та “фундаментальної зміни децентралізованої природи Інтернет-архітектури”.
Значна частина цих заяв є неправдивою. Маршел Ервін з Mozilla зазначив, що “слайди вкрай оманливі та неточні”. Кенджі Біо, менеджер з продуктів Chrome, підкреслює, що Chrome не буде примушувати користувачів змінювати свого DNS-провайдера. Браузер буде дотримуватися налаштувань DNS системи, і якщо DNS-провайдер не підтримує DoH, Chrome не використовуватиме цю технологію.
Крім того, Microsoft вже оголосила про підтримку DoH на рівні операційної системи Windows. З огляду на підтримку від Microsoft, Google та Mozilla, складно говорити про “односторонні” дії з боку Google.
Деякі вважають, що Comcast виступає проти DoH, оскільки втратить можливість збирати дані DNS-запитів. Однак Comcast запевняє, що не стежить за DNS-запитами користувачів. Компанія заявляє, що підтримує зашифрований DNS, але виступає за “спільне рішення для всієї галузі”, а не за “односторонні дії”. Позиція Comcast виглядає суперечливою, оскільки аргументи проти DoH були спрямовані насамперед на законодавців, а не на громадськість.
Як працює DNS через HTTPS?
Не беручи до уваги заперечення Comcast, розглянемо, як працює DNS через HTTPS на практиці. Коли підтримка DoH буде впроваджена в Chrome, браузер використовуватиме цю технологію лише у випадку, якщо поточний DNS-сервер системи її підтримує.
Тобто, якщо ви користуєтесь послугами Comcast, і провайдер не підтримує DoH, Chrome працюватиме як і раніше, без шифрування DNS-запитів. Якщо ви користуєтесь іншим DNS-сервером – Cloudflare, Google Public DNS, OpenDNS або DNS-сервером вашого провайдера з підтримкою DoH – Chrome автоматично перейде на зашифрований канал для спілкування з DNS-сервером. Користувачі можуть обрати DNS-провайдера, який підтримує DoH, але Chrome не зробить цього автоматично.
Це також означає, що будь-які рішення для фільтрації контенту, що використовують DNS, не будуть порушені. Якщо ви використовуєте OpenDNS та налаштували блокування певних веб-сайтів, Chrome використовуватиме OpenDNS як DNS-сервер, і жодних змін не відбудеться.
Firefox працює дещо інакше. Mozilla вирішила використовувати Cloudflare як DNS-провайдера за замовчуванням у США. Навіть якщо у вас налаштовано інший DNS-сервер, Firefox надсилатиме ваші DNS-запити на сервер Cloudflare 1.1.1.1. Користувачі Firefox матимуть можливість вимкнути цю функцію або обрати іншого DNS-провайдера, але Cloudflare залишатиметься налаштуванням за замовчуванням.
Microsoft заявляє, що DNS через HTTPS у Windows 10 працюватиме аналогічно Chrome. Windows 10 буде використовувати DNS-сервер за замовчуванням та вмикати DoH тільки за умови його підтримки. Однак, Microsoft планує надавати користувачам та адміністраторам Windows, які стурбовані конфіденційністю, інформацію щодо налаштування DNS-сервера.
Windows 10 може заохочувати користувачів перемикатися на DNS-сервер, який використовує DoH, але не буде робити цього автоматично.