Безопасность мечты? DNS-over-HTTPS не мешает интернет-провайдерам отслеживать веб-трафик пользователей Несколько экспертов, компаний и национальных организаций выразили очень убедительную обеспокоенность по поводу DoH и его особенностей.
Все шесть основных поставщиков браузеров планируют поддерживать DNS-over-HTTPS (или DoH), протокол, который шифрует трафик DNS и помогает улучшить конфиденциальность пользователя в Интернете.
Протокол DoH была одной из горячих тем года. Это протокол, который при развертывании внутри браузера позволяет браузеру скрывать DNS-запросы и ответы в обычном HTTPS-трафике.
Это делает DNS-трафик пользователя невидимым для сторонних сетевых наблюдателей, например как интернет-провайдеры. Но хотя пользователи любят DoH и считают его благом конфиденциальности, интернет-провайдеры, операторы сетей и поставщики кибербезопасности ненавидят его.
CNET: взлом последних новостей
A Интернет-провайдер из Великобритании назвал Mozilla «злодеем интернета» за свои планы по развертыванию DoH, а поддерживаемая Comcast лоббистская группа была поймана при подготовке вводящего в заблуждение документа о DoH, который они планировали представить законодателям США в надежде предотвратить более широкое развертывание DoH .
Однако, это может быть немного слишком поздно. ZDNet провела неделю, обращаясь к основным поставщикам веб-браузеров, чтобы оценить их будущие планы относительно DoH, и все поставщики планируют отправить его в той или иной форме.
Ниже приведено то, что мы в настоящее время знаем о планах каждого поставщика браузера относительно DoH, и как пользователи могут включить DoH в каждом соответствующем браузере.
Brave
«Мы абсолютно хотим реализовать его», — заявил вчера ZDNet Том Лоуэнтал, менеджер по продуктам в Brave for Privacy & Security.
Однако у команды Brave пока нет точных сроков. Развертывание DoH. Это связано с тем, что разработчики Brave были заняты другими улучшениями, ориентированными на конфиденциальность.
Например, вчера компания выпустила обновление с улучшенным обнаружением сценариев дактилоскопии пользователей. Более того, стабильная версия v1.0 находится на горизонте, поэтому команде Brave нужно сначала сосредоточиться на этой версии.
Тем не менее, DoH придет к Brave.
«Реализация DoH — это далеко однако это больше, чем просто техническая работа. Нам нужно принять решение о разумных и защитных настройках по умолчанию для подавляющего большинства людей, которые не думают о своей конфигурации DNS, и при этом следят за тем, чтобы мы не ломали вещи людям и организациям, тщательно настроил их настройку », — сказал Ловенталь.
Поскольку Brave построен на базе кода браузера Chromium с открытым исходным кодом, доступна поддержка DoH. Однако команда Brave не настроила эту функцию по своему вкусу. Он есть в кодовой базе, но так, как его разработала команда Google Chrome (см. Раздел Chrome ниже).
Вы можете включить DoH в Brave, посетив следующий URL:
храбрые: // флаги / # DNS-над-протокола HTTPS
Chrome
Google Chrome — второй браузер после Firefox, добавивший поддержку DoH. Вы можете включить DoH в Chrome:
chrome: // flags / # dns-over-https
DoH не включается по умолчанию для всех. Google в настоящее время проводит ограниченный эксперимент с небольшим количеством пользователей, чтобы увидеть, как DoH поживает в реальном тесте. Подробности здесь.
В отличие от Firefox, который по умолчанию перенаправляет весь трафик DoH в Cloudflare, поддержка Chrome в Chrome отличается.
После включения DoH в Chrome браузер будет отправлять DNS-запросы на тот же сервер. DNS-серверы, как и раньше. Если целевой DNS-сервер имеет интерфейс с поддержкой DoH, то Chrome будет шифровать трафик DNS и отправлять его на интерфейс DoH того же DNS-сервера.
Это не позволяет Chrome захватывать настройки DNS операционной системы, разумный подход в корпоративные среды.
В настоящее время поддержка Chrome в DoH работает следующим образом:
— пользователь вводит URL-адрес веб-сайта в браузере — Chrome просматривает DNS-сервер операционной системы — Chrome проверяет, находится ли этот DNS-сервер в белом списке утвержденных DNS-серверов с поддержкой DoH — если да, Chrome отправляет DNS-запрос DoH (с шифрованием) на интерфейс DoH этого DNS-сервера — если нет, Chrome отправляет регулярный DNS-запрос к тому же серверу
Из-за того, как Google реализовал поддержку DoH в Chrome, пользователи рискуют никогда не использовать DoH. Это связано с тем, что операционная система пользователя получает свои настройки DNS от центральных сетевых органов, которым обычно является интернет-провайдер. Если провайдер не хочет использовать настройку DNS, дружественную к DoH, то у вас никогда не будет DoH в Chrome.
Хорошая новость заключается в том, что есть два способа обойти это и заставить Chrome используйте DoH постоянно, независимо от настроек DNS вашего интернет-провайдера.
Во-первых, есть это руководство для принудительного включения DoH в Chrome. Во-вторых, пользователь может настроить собственный DoH-дружественный DNS-сервер для своей операционной системы. Они могут выбрать один из этого списка, гарантированно работающий в Chrome.
Edge
В следующем году Microsoft планирует выпустить новую версию своего браузера Edge, перестроенную на базе кода Chromium.
Представитель Microsoft сообщил ZDNet, что компания поддерживает DoH, но не может поделиться своими точными планами.
Однако версия Edge на основе Chromium уже поддерживает DoH. Пользователи могут включить его, посетив:
edge: // flags / # dns-over-https
Это включит DoH, но не будет работать, если ваш компьютер использует DNS-сервер с поддержкой DoH, чего в 99% случаев нет.
Чтобы принудительно включить DoH в Edge и работать постоянно, вы можете выполнить действия, изложенные в этом сообщении в блоге. одним из инженеров команды Edge.
Вы можете заменить адрес распознавателя DoH Cloudflare на любой другой сервер DoH, какой захотите. Вы можете выбрать один из них здесь.
После правильной настройки Edge может работать поверх DoH — см. Скриншот ниже.
Firefox
[Mozilla] организация, которая стала пионером создания DoH вместе с Cloudflare. Поддержка DoH уже доступна в стабильных версиях Firefox. Вы можете включить его через раздел настроек браузера, в разделе «Сеть». См. Инструкции здесь.
Изображение: ZDNet
Причина, по которой все критикуют реализацию FireHx в DoH, заключается в том, что они используют Cloudflare в качестве сервера DoH по умолчанию для всех, эффективно перезаписывая локальные настройки DNS для всех.
Однако любой может изменить эту настройку по умолчанию на любой другой сервер DoH, какой захочет. Из всех браузеров поддержка Firefox DoH является самой сильной и простой в настройке, в основном потому, что они работают над ней дольше, чем кто-либо другой.
В настоящее время организация по умолчанию включает DoH для всех пользователей в США. , DoH не будет включен по умолчанию для пользователей Великобритании, после того как правительство Великобритании отреагировало на эту функцию.
В прошлом Mozilla не принимала участия в своих планах по включению DoH по умолчанию в других географических областях за пределами НАС. Однако, поскольку поддержка DoH уже присутствует в стабильном выпуске браузера, все, что нужно сделать пользователю, это включить его, и он будет работать без сбоев.
Opera
Opera уже развернута Поддержка DoH. Эта функция отключена для всех пользователей, но может быть включена в любое время в стабильном выпуске, и она будет работать без каких-либо дополнительных шагов пользователей.
Это потому, что разработчики Opera используют распознаватель DoH по умолчанию, похож на Firefox, и не оставляю его интернет-провайдерам, как Chrome Весь трафик Opera DoH в настоящее время направляется в распознаватель DoH Cloudflare 1.1.1.1.
Мы не смогли найти способ для пользователей изменить преобразователь DoH на пользовательский сервер, но по крайней мере DoH работает в Opera.
Однако он не будет работать, если вы используете встроенную VPN-систему Opera. Функция VPN должна быть отключена для работы DoH.
Чтобы включить DoH в Opera, посетите:
opera: // flags / opera-doh
Safari
Нет ответа. Тем не менее, разработчики Safari обычно опаздывают на вечеринки, посвященные развёртыванию функций, и Apple в последнее время вкладывает средства в функции, ориентированные на конфиденциальность пользователей, поэтому вероятность того, что DoH придет в Safari, весьма высока.
Представитель Vilvadi заявил, что поддержка DoH тесно связана с реализацией Chrome. Пользователи могут включить его, посетив:
vivaldi: // flags / # dns-over-https
Однако, поскольку DoH в Vivaldi работает так же, как в Chrome, он не будет шифровать DNS-запросы, если пользователь не использует DNS-сервер для всей ОС, который также имеет интерфейс DoH и указан на этой странице.
Скорее всего, вам потребуется добавить один из этих дружественных DoH-серверов. DNS-серверы с настройками DNS вашей операционной системы, если вы хотите, чтобы DoH работал в Vivaldi и использовал его постоянно. Мы получили его, используя 1.1.1.1 в качестве настроек DNS нашей операционной системы.
Представитель Vivaldi сказал, что поддержка DoH от Vivaldi может измениться в будущем, в зависимости от того, как Google изменит поддержку DoH в Chromium.
