Общественно-политический журнал

 

Государство больше не сможет определять что нам читать и что смотреть

Протокол DNS не шифрует запросы от пользователя к серверу-DNS и ответы на них. Данные транслируются в виде текста. Таким образом, запросы содержат имена хостов, которые посещает пользователь. Отсюда появляется возможность «подслушать» канал связи и перехватить незащищенные персональные данные, либо заблокировать со стороны интернет-провайдера доступ к интернет-ресурсу.

Чтобы исправить ситуацию, был предложен стандарт DNS over HTTPS, или «DNS поверх HTTPS». В IETF начали работать над ним в мае 2017 года. Его авторами выступили инженеры Пол Хоффман из ICANN — корпорации по управлению доменными именами и IP-адресами — и Патрик Макманус из Mozilla.

Особенность DoH заключается в том, что запросы на определение IP-адреса отправляются не DNS-серверу, а инкапсулируются в трафик HTTPS и передаются HTTP-серверу, на котором специальный резолвер обрабатывает их с помощью API. DNS-трафик маскируется под обычный HTTPS-трафик, а связь клиента и сервера происходит через стандартный для HTTPS порт 443. Содержание запросов и факт использования DoH остаются скрытыми. Таким образом, например, в случае России попытки Роскомнадзора блокировать неугодные ресурсы окажутся бесполезными.

Многие из представителей ИТ-индустрии выступили в поддержку стандарта IETF. Например, ведущий исследователь интернет-регистратора APNIC Джефф Хьюстон.

Разработку протокола поддержали крупные интернет-компании. С начала года (когда протокол еще находился на этапе драфта) DoH тестируют Google/Alphabet и Mozilla. Одно из подразделений Alphabet, выпустило приложение Intra для шифрования DNS-трафика пользователей. Браузер Mozilla Firefox поддерживает DNS over HTTPS с июня этого года.

DoH внедрили и DNS-сервисы — Cloudflare и Quad9. В Cloudflare недавно выпустили приложение для работы с новым протоколом на Android и iOS. Оно выступает в роли VPN к собственному устройству (на адрес 127.0.0.1). DNS-запросы начинают отправляться в Cloudflare с использованием DoH, а трафик идет «обычным» маршрутом.

Список браузеров и клиентов с поддержкой DoH можно найти на GitHub.

Не все участники индустрии положительно отозвались о решении IETF. По их мнению, новая технология не даст эффективно контролировать работу сетей. Например, системные администраторы не смогут блокировать потенциально вредоносные сайты, а рядовые пользователи будут лишены возможности организации родительского контроля в браузерах.

Противники DoH предлагают использовать другой подход — протокол DNS over TLS, или DoT. Эта технология принята как стандарт IETF. Как и DoH, протокол DoT скрывает содержимое запросов, но отправляет их не по HTTPS, а использует TLS. Для подключения к DNS-серверу при этом используется отдельный порт — 853. Из-за этого отправка DNS-запроса не скрывается, как в случае с DoH.

Технология DoT тоже подвергается критике. В частности, эксперты отмечают: из-за того, что протокол работает с выделенным портом, третья сторона сможет отслеживать использование защищенного канала и при необходимости блокировать его.

По словам экспертов, пока неясно, какой из способов защиты DNS-запросов станет более распространен (но распространены будут оба - ЭР).

Сейчас и Cloudflare, и Quad9, и Alphabet поддерживают оба стандарта. Если DoH Alphabet использует в упомянутом выше приложении Intra, то протокол DoT применили для защиты трафика в Android Pie. Также Google включил поддержку DoH и DoT в Google Public DNS — причем внедрение второго стандарта никак не анонсировали.

Издание The Register пишет, что конечный выбор между DoT и DoH будет зависеть от пользователей и провайдеров, и сейчас ни у одного из стандартов нет явного преимущества.

В протоколе заинтересованы все участники: контент провайдеры (защита), производители браузеров (безопасность) компании типа Google — дополнительный источник информации.

Против только те, кто пытаются что-то где-то блокировать и собственно больше никто.

Таким образом, деятельности Роскомнадзора по блокированию неугодных ему ресурсов приходит бесславный конец. Государство больше не сможет определять что нам читать и что смотреть.

Комментарии

Olivia (не проверено) on 12 сентября, 2019 - 15:57

Пока в России нельзя открыть "Эхо России" ...посмотрим как будет в будущем.

vik on 12 сентября, 2019 - 21:51

Это не быстро придет, но и не долго. Не быстро для массового обывателя, которые будут получать обновления браузеров в стандартном порядке. Мозила Фаерфокс обещает включить новые протоколы в обновления уже в октябре. Что-то и Хром обещает, подтянуться. Возможно, по умолчанию эти опции не будут включены и их нужно будет включить.

Ну а для продвинутых или спешащих пользователей, это доступно уже сейчас - наберите в строке поиска «DNS поверх HTTPS» и выбирайте варианты удобных для себя подключений.