Компании като Microsoft, Google и Mozilla напредват с DNS през HTTPS (DoH). Тази технология ще криптира DNS търсения, подобрявайки онлайн поверителността и сигурността. Но е спорно: Comcast лобира срещу това. Ето какво трябва да знаете.
Съдържание
Какво е DNS през HTTPS?
Мрежата настоява да криптира всичко по подразбиране. В този момент повечето от уебсайтовете, до които имате достъп, вероятно използват HTTPS криптиране. Съвременните уеб браузъри като Chrome вече маркират всички сайтове, използващи стандартен HTTP, като „незащитени“. HTTP/3, новата версия на HTTP протокола, има вградено криптиране.
Това криптиране гарантира, че никой не може да намесва уеб страница, докато я преглеждате, или да следи какво правите онлайн. Например, ако се свържете с Wikipedia.org, мрежовият оператор — независимо дали това е обществена Wi-Fi точка на бизнеса или вашият интернет доставчик — може да види само, че сте свързани с wikipedia.org. Те не могат да видят коя статия четете и не могат да променят статия в Уикипедия по време на пренос.
Но в стремежа към криптиране DNS беше изоставен. Системата за имена на домейни дава възможност за свързване към уебсайтове чрез имената на техните домейни, а не чрез използване на цифрови IP адреси. Въведете име на домейн като google.com и вашата система ще се свърже с конфигурирания си DNS сървър, за да получи IP адреса, свързан с google.com. След това ще се свърже с този IP адрес.
Досега тези DNS търсения не са били криптирани. Когато се свържете с уебсайт, вашата система изстрелва заявка, в която се казва, че търсите IP адреса, свързан с този домейн. Всеки между тях – вероятно вашият интернет доставчик, но може би и просто трафик за регистриране на публичен Wi-Fi гореща точка – може да регистрира кои домейни се свързвате.
DNS през HTTPS затваря този надзор. Когато DNS през HTTPS, вашата система ще направи сигурна, криптирана връзка с вашия DNS сървър и ще прехвърли заявката и отговора през тази връзка. Всеки между тях няма да може да види кои имена на домейни търсите или да подправя отговора.
Днес повечето хора използват DNS сървърите, предоставени от техния доставчик на интернет услуги. Въпреки това, има много DNS сървъри на трети страни като Cloudflare’s 1.1.1.1, Google Public DNS, и OpenDNS. Тези доставчици на трети страни са сред първите, които позволяват поддръжка от страна на сървъра за DNS през HTTPS. За да използвате DNS през HTTPS, ще ви трябва както DNS сървър, така и клиент (като уеб браузър или операционна система), който го поддържа.
Кой ще го подкрепи?
Google и Mozilla вече тестват DNS през HTTPS в Google Chrome и Mozilla Firefox. На 17 ноември 2019 г. Microsoft обяви би било приемане на DNS през HTTPS в мрежовия стек на Windows. Това ще гарантира, че всяко приложение в Windows ще получи предимствата на DNS над HTTPS, без да бъде изрично кодирано, за да го поддържа.
Google казва той ще активира DoH по подразбиране за 1% от потребителите, започващи с Chrome 79, очаквано за пускане на 10 декември 2019 г. Когато тази версия бъде пусната, вие също ще можете да отидете на chrome://flags/#dns-over -https, за да го активирате.
Mozilla казва той ще активира DNS през HTTPS за всички през 2019 г. В текущата стабилна версия на Firefox днес можете да отидете в менюто > Опции > Общи, превъртете надолу и щракнете върху „Настройки“ под Мрежови настройки, за да намерите тази опция. Активирайте „Активиране на DNS през HTTPS“.
Apple все още не е коментирала плановете за DNS през HTTPS, но очаквахме компанията да последва и внедри поддръжка в iOS и macOS заедно с останалата част от индустрията.
Все още не е активиран по подразбиране за всички, но DNS през HTTPS трябва да направи използването на интернет по-частно и сигурно, след като приключи.
Защо Comcast лобира срещу него?
Това засега не звучи много противоречиво, но е така. Comcast очевидно е лобирал конгреса да спре Google да пусне DNS през HTTPS.
В презентация, представена на депутатите и получена от дънна платка, Comcast твърди, че Google преследва „едностранни планове“ („заедно с Mozilla“) за активиране на DoH и „[centralize] по-голямата част от световните DNS данни с Google“, което „би отбелязало фундаментална промяна в децентрализирания характер на архитектурата на Интернет“.
Голяма част от това, честно казано, е невярно. Маршел Ервин от Mozilla каза на Motherboard, че „слайдовете като цяло са изключително подвеждащи и неточни“. В публикация в блог продуктовият мениджър на Chrome Кенджи Беахе посочва че Google Chrome няма да принуждава никого да смени своя DNS доставчик. Chrome ще се подчинява на текущия доставчик на DNS на системата – ако не поддържа DNS през HTTPS, Chrome няма да използва DNS през HTTPS.
И оттогава Microsoft обяви планове за поддръжка на DoH на ниво операционна система Windows. Тъй като Microsoft, Google и Mozilla го приемат, това едва ли е „едностранна“ схема от Google.
Някои теоретизираха, че Comcast не харесва DoH, защото вече не може да събира данни за търсене на DNS. Comcast обаче има обещано той не шпионира вашите DNS търсения. Компанията настоява, че поддържа криптиран DNS, но иска „съвместно решение за цялата индустрия“, а не „едностранно действие“. Съобщенията на Comcast са разхвърляни – аргументите му срещу DNS през HTTPS очевидно са предназначени за очите на законодателите, а не за обществеността.
Как ще работи DNS през HTTPS?
Като оставим настрана странните възражения на Comcast, нека да разгледаме как всъщност ще работи DNS през HTTPS. Когато поддръжката на DoH стартира активно в Chrome, Chrome ще използва DNS през HTTPS само ако текущият DNS сървър на системата го поддържа.
С други думи, ако имате Comcast като доставчик на интернет услуги и Comcast отказва да поддържа DoH, Chrome ще работи както днес, без да криптира вашите DNS търсения. Ако имате конфигуриран друг DNS сървър — може би сте избрали Cloudflare DNS, Google Public DNS или OpenDNS, или може би DNS сървърите на вашия интернет доставчик поддържат DoH — Chrome ще използва криптиране, за да говори с текущия ви DNS сървър, като автоматично „надгражда“ Връзка. Потребителите може да изберат да се откажат от доставчици на DNS, които не предлагат DoH – като Comcast – но Chrome няма да направи това автоматично.
Това също означава, че всички решения за филтриране на съдържание, които използват DNS, няма да бъдат прекъснати. Ако използвате OpenDNS и конфигурирате определени уебсайтове да бъдат блокирани, Chrome ще остави OpenDNS като ваш DNS сървър по подразбиране и нищо няма да се промени.
Firefox работи малко по-различно. Mozilla избра да отиде с Cloudflare като доставчик на криптиран DNS на Firefox в САЩ. Дори ако имате конфигуриран различен DNS сървър, Firefox ще изпрати вашите DNS заявки до 1.1.1.1 DNS сървъра на Cloudflare. Firefox ще ви позволи да деактивирате това или да използвате персонализиран криптиран DNS доставчик, но Cloudflare ще бъде по подразбиране.
Microsoft казва, че DNS през HTTPS в Windows 10 ще работи подобно на Chrome. Windows 10 ще се подчинява на вашия DNS сървър по подразбиране и ще активира DoH само ако избраният от вас DNS сървър го поддържа. Въпреки това, Microsoft казва, че ще насочи „поверителността на потребителите и администраторите на Windows“ към настройките на DNS сървъра.
Windows 10 може да ви насърчи да превключите DNS сървъри към такъв, който е защитен с DoH, но Microsoft казва, че Windows няма да направи превключването вместо вас.