Suicide
02.10.2019, 21:26
Торговые ассоциации NCTA (https://en.wikipedia.org/wiki/NCTA_(association)), CTIA (https://en.wikipedia.org/wiki/CTIA_(organization)) и USTelecom (https://en.wikipedia.org/wiki/United_States_Telecom_Association), отстаивающие интересы интернет-провайдеров, обратились (https://www.ncta.com/sites/default/files/2019-09/Final%20DOH%20LETTER%209-19-19.pdf) в Конгресс США с просьбой обратить внимание на проблему с внедрением "DNS поверх HTTPS" (DoH, DNS over HTTPS) и запросить у Google детальную информацию о текущих и будущих планах по включению DoH в своих продуктах, а также получить обязательство не включать по умолчанию централизованную обработку DNS-запросов в Chrome и Android без предварительного всестороннего обсуждения с другими представителями экосистемы и учёта возможных негативных последствий.
Понимая общую пользу от применения шифрования для DNS-трафика, ассоциации считают недопустимым сосредоточение контроля за преобразованием имён в одних руках и привязку данного механизма по умолчанию к централизованным DNS-службам. В частности, утверждается, что Google движется в сторону введения в практику применения DoH по умолчанию в Android и Chrome, что в случае привязки к серверам Google приведёт к нарушению децентрализованного характера инфраструктуры DNS и возникновению единой точки отказа.
Так как Chrome и Android доминируют на рынке, в случае навязывания своих DoH-серверов Google получит возможность контролировать большую часть потоков DNS-запросов пользователей. Кроме снижения надёжности инфраструктуры подобный шаг также даст Google необоснованные преимущества перед конкурентами, так как компания получит дополнительные сведения о действиях пользователей, которые могут быть использованы для отслеживании активности пользователей и подбора релевантной рекламы.
Применение DoH также может нарушить работу в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Подмена DNS также часто используется для перенаправления пользователей на страницу с информацией об окончании средств у абонента или для входа в беспроводную сеть.
Компания Google заявила (https://arstechnica.com/tech-policy/2019/09/isps-worry-a-new-chrome-feature-will-stop-them-from-spying-on-you/), что опасения напрасны, так как она не собирается по умолчанию включать DoH в Chrome и Android. Намеченное (https://www.opennet.ru/opennews/art.shtml?num=51488) в Chrome 78 экспериментальное включение по умолчанию DoH будет охватывать только пользователей, в настройках которых указаны DNS-провайдеры, предоставляющие возможность использования DoH в качестве альтернативы традиционным DNS. У тех, кто использует предоставленные локальным интернет-провайдером DNS-серверы, запросы DNS продолжат отправляться через системный резолвер. Т.е. действия Google сводятся лишь к замене на эквивалентный сервис текущего провайдера для перехода к защищённому методу работы с DNS. Экспериментальное включение DoH также намечено в Firefox, но в отличие от Google компания Mozilla намерена (https://www.opennet.ru/opennews/art.shtml?num=51439) использовать (https://support.mozilla.org/en-US/kb/firefox-dns-over-https) по умолчанию DNS-сервер CloudFlare. Такой подход уже вызвал критику (https://www.opennet.ru/opennews/art.shtml?num=51471) со стороны проекта OpenBSD.
Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси).
Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов. В настоящее время около 30 публичных DNS-серверов (https://github.com/curl/curl/wiki/DNS-over-HTTPS#publicly-available-servers) поддерживают DoH.
02.10.2019
http://www.opennet.ru/opennews/art.shtml?num=51602
Понимая общую пользу от применения шифрования для DNS-трафика, ассоциации считают недопустимым сосредоточение контроля за преобразованием имён в одних руках и привязку данного механизма по умолчанию к централизованным DNS-службам. В частности, утверждается, что Google движется в сторону введения в практику применения DoH по умолчанию в Android и Chrome, что в случае привязки к серверам Google приведёт к нарушению децентрализованного характера инфраструктуры DNS и возникновению единой точки отказа.
Так как Chrome и Android доминируют на рынке, в случае навязывания своих DoH-серверов Google получит возможность контролировать большую часть потоков DNS-запросов пользователей. Кроме снижения надёжности инфраструктуры подобный шаг также даст Google необоснованные преимущества перед конкурентами, так как компания получит дополнительные сведения о действиях пользователей, которые могут быть использованы для отслеживании активности пользователей и подбора релевантной рекламы.
Применение DoH также может нарушить работу в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Подмена DNS также часто используется для перенаправления пользователей на страницу с информацией об окончании средств у абонента или для входа в беспроводную сеть.
Компания Google заявила (https://arstechnica.com/tech-policy/2019/09/isps-worry-a-new-chrome-feature-will-stop-them-from-spying-on-you/), что опасения напрасны, так как она не собирается по умолчанию включать DoH в Chrome и Android. Намеченное (https://www.opennet.ru/opennews/art.shtml?num=51488) в Chrome 78 экспериментальное включение по умолчанию DoH будет охватывать только пользователей, в настройках которых указаны DNS-провайдеры, предоставляющие возможность использования DoH в качестве альтернативы традиционным DNS. У тех, кто использует предоставленные локальным интернет-провайдером DNS-серверы, запросы DNS продолжат отправляться через системный резолвер. Т.е. действия Google сводятся лишь к замене на эквивалентный сервис текущего провайдера для перехода к защищённому методу работы с DNS. Экспериментальное включение DoH также намечено в Firefox, но в отличие от Google компания Mozilla намерена (https://www.opennet.ru/opennews/art.shtml?num=51439) использовать (https://support.mozilla.org/en-US/kb/firefox-dns-over-https) по умолчанию DNS-сервер CloudFlare. Такой подход уже вызвал критику (https://www.opennet.ru/opennews/art.shtml?num=51471) со стороны проекта OpenBSD.
Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси).
Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов. В настоящее время около 30 публичных DNS-серверов (https://github.com/curl/curl/wiki/DNS-over-HTTPS#publicly-available-servers) поддерживают DoH.
02.10.2019
http://www.opennet.ru/opennews/art.shtml?num=51602