Торговые ассоциации NCTA, CTIA и USTelecom, защищающие интересы интернет-провайдеров, попросили (.pdf) Конгресс США обратить внимание на внедрение шифрования DNS-запросов в будущих версиях браузера Google Chrome и в Android — это самый популярный браузер с долей ~64%, и операционная система с долей ~40% в мире, соответственно, обратил внимание OpenNET.
Провайдеры признают, что шифрование DNS запросов повысит безопасность их собственных клиентов. Вместе с тем, Google разрушит децентрализованную модель DNS и получит необоснованное преимущество для таргетирования рекламы. Большинство абонентов никогда не меняют настройки DNS выставленные "по умолчанию" — значит подавляющее число DNS-запросов в мире начнёт обслуживать сам Google, а не сторонние операторы или сами провайдеры.
Технология "DNS поверх HTTPS" (DoH, DNS over HTTPS), которой опасаются провайдеры, защищает абонентов от подмены DNS-трафика, атак типа "человек посередине" (MITM), утечек лога веб-серфинга. О попытке выяснить ip произвольного сайта узнает только браузер абонента и доверенный DoH DNS-сервер. В большинстве случаев — сервер Google. Публичных бесплатных сервисов с DoH в мире всего лишь около 30, против миллионов незащищённых, но востребованных сегодня DNS-серверов.
Сегодня, в общем случае, браузеры или мобильная операционная система, используют ближайший (обычно провайдерский) DNS-сервер — их множество. Включение DoH на уровне браузера или операционной системы приведёт к тому, что все запросы будет обслуживать лишь Google. В результате, считают американские провайдеры:
- появится единая точка отказа, что снижает надёжность инфраструктуры интернет в целом;
- Google получит необоснованное преимущество перед любыми конкурентами — Google будет иметь полное представление о веб-серфинге абонентов, все остальные — не будут иметь почти никакого.
Кроме того, включение DoH сломает [натянутые аргументы]:
- системы родительского контроля;
- появится угроза функционированию "американского Роскомнадзора", исполнение судебных предписаний о противодействии распространению нелегального контента сломается;
- сломается доступ к внутренним пространствам имён в корпоративных системах и маршрутизация при обращении к CDN;
- странички с сообщениями об окончании средств на абонентском счету или предназначенные для выхода в WiFi в кафе и других публичных местах перестанут работать.
Ранее похожие претензии услышали авторы Mozilla Firefox (4,4% рынка в мире, принципиального влияния на него не оказывает). Браузер намерен отправлять все зашифрованные DNS-запросы другому "монополисту" — Cloudflare. Разработчики OpenBSD, в частности, решили, что во-первых, браузер не должен переопределять системное поведение DNS; во-вторых, отправлять весь DNS-трафик в Cloudflare — плохая идея.
Британские провайдеры просто титуловали Mozilla регалией "Злодеи года". В Британии сочли, что включение DoH сделает неработоспособной простейшую и дешёвую национальную систему цензурирования интернет-трафика. В итоге разработчики Firefox уже решили, что британская сборка Firefox разучится обходить блокировки "Бриткомнадзора" — DoH в ней выключен.
Добавить 10 комментариев
Тут всё просто и ясно: с этим цифровым Гитлером пора кончать.
Ой, да… есть разица между 192.168.1.1, 172.XXX.XXX.XX провайдера, и 8.8.8.8…
Что по сути своей все равно ведет к DNS Google, просто без кэширования провайдером и «бесполезной» фильтрации от LinkedIN, rutracker и пр…
При желании, и 8.8.8.8 станет условным dns.rkn.ru. Что за х*#!я?
Если у провайдера нет силенок установить собственный DNS и он форвардит его на 8.8.8.8, то это значит, что у него совсем атрофировался мозг. Кроме того, использование DNS 8.8.8.8 означает автоматическое принятие пользовательских соглашений с Google, что само по себе сценарий судного дня: при необходимости они могут отключить от интернета целую страну за нарушение пользовательских соглашений. С другой стороны, судный день может как раз и начаться с перенаправления гуглового DNS. В общем, вся эта централизация приводит к ужасным последствиям. Руки интуитивно тянутся к кнопке удалить Хром и ФФ, и не вылезать и Тора.
А кто то мне давеча говорил что не будет хром внедрять DNS шифрование га га га … как тебе такой Иван Ильин? :) ржёт. Будут внедрять и крипту будут усугблять и приватность избавляться от кук заменяя их коротко живущими токенами. Скоро ркн будет банить только собственный хер да и то в рабочие часы :)
ps. Кроме цензуры, там существуют целые рынки торговли пользовательскими профилями, провайдеры глядя на пользовательский трафик зарабатывали на подмешивании рекламы пользователю на сайтах в зависимости от пользовательских DNS запросов, понятно, что если схема DNS over HTTPS будет внедрена в реальности это будет означать конец такого рода бизнеса и существенные финансовые потери. Косвенно это задевает и бизнес всяческих VPN щиков, так как если Google наконец сделает всё как надо, поле всей этой кипучей деятельности схлопнется совсем. Их задача сделать онлайн среду в целом такой же анонимной как офлайн среду, где вы можете попасть под прицел многочисленных камер только находясь в мегаполисе. Как это поможет обычному человеку и чем? — да ничем и никак, так о вас знали всё провайдеры их коллежики ваш впн провайдер, если вы хотели скрыться от провайдера и их коллег, теперь о вас всё будет знать корпорация Google = все американские спецслужбы, и как следствие сильно возрастёт вероятность майдана и смены режима Пу5 и его дружбанов в волшебной стране :)
Думаю, в настройках хрома будет параметр — куда стучаться для шифрованного DNS. И все корпоративщики будут спокойно накатывать одной общей политикой свой корпоративный гейт, вот и всё. И примерно то же самое будут делать системы родительского контроля (потому что без локального контроля браузера такая система — это самообман).
Провайдеры, разумеется, недовольны, что теперь не смогут видеть DNS-запросы домашних юзеров, чтобы потом торговать этими данными и подменять их в своих коммерческих, цензурных и личных целях. Возможно, их поддержат государственные *** [роскомнадзоры], которым это тоже не нравится, но признаться в цензуре стремновато.
Ну раз свою инфраструктуру DNS может продвигать Google, то вскоре она появится у всех крупных игроков. То есть Chrome будет ходить к DOH-серверам Google, IE и продукты MS будут ходить за обновлениями к DOH-серверам Microsoft. Adobe в свои продукты встроит обращения к собственным DOH-серверам и т.д.
Более мелкие игроки в силу собственной религии (как у Телеграмм) могут вообще отказаться (минимизировать) от использования DNS и обращаться к собственным серверам напрямую по IP-адресам.
Все это вместе будет вести к постепенной «проприетаризации» всей инфраструктуры DNS — появятся несовместимые фирменные расширения для DOH и конкурирующие с DOH архитектуры.
Скоро у нас будет много интернетов разной степени централизации. У китайцев уже есть свой, плюс даркнет уже точно никуда не денется. Всякие MaidSafe и прочие dat:// на подходе.
Очнулись… И очканули.
Как же так, последний бутерброд с икрой изо рта вынимают — как же данные-то на сторону продавать?
Впрочем, вторая сторона не лучше — я все жду (но, видимо, не дождусь), когда Касперский будет детектировать Хром как spyware (коим он, по сути, и является)?
Но вообще, конечно, это детский лепет по сравнению с тем, какой ад творится в Андроиде.
Легко представить и другую ситуацию — когда хром в рамках борьбы за безопасность начнёт детектировать Касперского как русское спайваре.