DNS Over TLS & Over HTTPS (Далее DOT & DOH) — пожалуй именно те технологии которые кардинально повышают приватность и безопасность в Интернете. Есть еще Encrypted SNI, но для её использования нужны DOH и DOT
Обращаю внимание, само приложение — очень UserFriendly даже без глубоких знаний технологий настоятельно рекомендуется ознакомится с ним.
Краткая справка: DNS — система получения IP адреса, фундаментальная часть интернета, которая используется каждый раз при веб браузинге. Открывая тот или иной ресурс, вы сообщаете своему оператору связи куда вы зашли, причем даже если вы поменяете DNS на другой (8.8.8.8 от Google например) — это вам не поможет, из-за отсутствия шифрования в протоколе, что позволяет производить подмену и перенаправление трафика не целевой сервер (фактически атака MITM).
Совсем недавно основной проблемой безопасности в сети был HTTP, но, спасибо Google & LetsEncrypt — она практически решена — теперь что конкретно вы смотрите на сайте — теперь неизвестно провайдеру, осталось только две проблемы:
- DNS Leak: Это та самая проблема которая может быть решена используя DOH & DOT
- Domain SNI Leak — проблема раскрытия SNI возникает при установке HTTPS соединения с сайтом, однако, перед началом зашифрованной передачи — браузер в открытом виде передаёт доменное имя сайта для соединение серверу, стандарт eSNI решит эту проблему, но это следующий шаг
Некоторое время назад, на Habr были опубликованы статьи: (рекомендую ознакомиться):
- Google Public DNS тихо включили поддержку DNS over TLS
- Встречаем сервис от Cloudflare на адресах 1.1.1.1 и 1.0.0.1, или «полку публичных DNS прибыло!»
И казалось бы, счастье уже близко, две крупные компании решили реализовать новые протоколы и вот-вот поддержка доберётся до конечных пользователей. (Особенно в случае с Chrome)
Но по непонятной причине, поддержка DOT & DOH сейчас есть только в «ночных» сборках Firefox, не говоря уже о системном уровне Android & iOS.
Однако, спасибо CloudFlare, который решил воспользоватся медлительностью Google, и выпустил приложение для iOS & Android
Приложение очень простое, в случае с iOS работа осуществляется через установку профиля VPN
Не путать с настоящим VPN! После установки профиля — фактически будет установлен VPN к самому себе (на 127.0.0.1) и DNS запросы будут отправлены в CloudFlare через DOT & DOH, трафик же пойдет по обычному маршруту.
Что приятно, в приложение есть возможность настроить режим DNS Over TLS или DNS Over HTTPS. по умолчнию используется последний вариант.
Отмечу еще раз, появление иконки VPN не говорит об использовании «VPN» в привычном смысле этого слова, убедится вы сможете зайдя на любой определитель IP, например 2ip.ru
И еще, в случае смены DNS в настройках сети — при переходе от WiFi к WiFi вам нужно каждый раз менять настройки, не говоря уже о DNS для сети оператора связи, редактировать этот параметр иногда вообще невозможно.
В случае с приложением — для любых сосединений будет автоматическим использован DOH / DOT от CloudFlare.
Комментарии (72)
ivanrt
13.11.2018 02:20Удобно, зачем NSA связываться с местными провайдерами или перехватывать трафик. Приходишь к cloudflare и спрашиваешь кто там в последнее время заходил на сайт example.com.
esc
13.11.2018 08:41это делается не ради nsa, а для защиты монополии на браузерную историю пользователей.
shifttstas Автор
13.11.2018 09:52Почему? Кто вам мешает сделать свой личный DOH сервер?
Основной плюс — конфиденциальность и защита от MITM + подготовка к eSNI.
В конечном итоге транспорт (провайдеры) будут видеть только IP + порт и шифрованную HTTPS трубу, в которой неизвестно что летит, а при TLS 1.3 все совсем хорошо — там и Perfect Forward Security есть.esc
13.11.2018 11:37«личный» никого не волнует. Волнует, чтобы провайдеры не имели доступа к поисковыми запросам и посещенным страницам своих пользователей. Сейчас эта информация почти полностью у Гугла и больше взять ее негде.
Но раньше такую информацию продавали и некоторые крупные провайдеры, продавали тем же клиентам, по сути. Гуглу такая «альтернатива» не нравилась, отсюда и повальное внедрение https везде где можно. Гугл просто перекрыл доступ к данным поиска и посещений для всех, кроме себя.
Единичные пользователи никому не интересны, важно было перекрыть именно массовый сбор данных.shifttstas Автор
13.11.2018 11:59А в чем проблема? Раньше доступ имели все, сейчас только Google (ну не только он)
Однако — раньше нельзя было никак себя обезопасить от доступа истории браунинга, сейчас — масса методов в 1 клик.
Чем меньше сторон имеет доступ к данным — тем лучше.esc
13.11.2018 12:02Именно себя можно было обезопасить очень давно, vpn называется (и другие туннели).
Я к тому, что не стоит думать, что Гугл этими инициативами заботится о вашей приватности. У Cloudflare тоже свои виды на этот счет.shifttstas Автор
13.11.2018 12:14VPN — не массовый метод, а вот DNS — вполне. Отказаться от слежки гуглом — можно, а вот от слежки провайдером — нет. (Это я о сравнении http vs https и DNS vs DOH)
esc
13.11.2018 12:16Как вы откажетесь от слежки Гуглом?
Как раз vpn помогает против слежки провайдером. Чтобы решить вопрос для себя. От Гугла так просто не спрячешься…shifttstas Автор
13.11.2018 12:18Чойто? Chromium + любой другой DNS.
Опять же подчёркиваю, VPN не массовый метод.esc
13.11.2018 12:30Гугл вас отслеживает десятками способов. Так что одним лишь Хромиумом не обойтись, надо использовать какой-то приватный режим с сохранением кук только от вручную прописанных сайтов. И вообще не заходить ни в один из сервисов Гугла. Тогда, возможно, он о вас и не узнает.
shifttstas Автор
13.11.2018 12:35Трекинг от Google на мой взгляд более безопасен, чем со стороны провайдера и всей цепочки узлов между сайтом и вами.
albik
13.11.2018 12:41А какая разница, кто будет продавать ваши профили — провайдер или гугл?
BugM
13.11.2018 12:47+3Гугл очень большой и далеко. Если Гугл станет продавать (или у него утечет) персональную инфу плохо станет большинству людей в мире. От российского товарища майора Гугл может защищаться долгими переписками и судами.
На не российских товарищей майоров плевать, они меня в тюрьму не посадят.
А провайдер мелкий и рядом. Защиты от товарища майора у провайдера нет. Он обязан ему все отдать по первому свистку. Лицензию терять провайдеру не хочется.
От продажи или утечки инфы у любого провайдера пострадают только его клиенты, что в мировом масштабе мелочи. Не хочется быть в пострадавшей группе.esc
13.11.2018 12:54Согласен на 100%, но с другой стороны, пока не введены белые списки, самого себя от слежки провайдером можно обезопасить с помощью туннеля.
А от Гугла это будет не так просто сделать. И при необычайном стечении обстоятельств, он таки передаст нужные данные «вашим» спец. службам (или заинтересует ими своих). Правда, для этого надо реально очень серьезно нарушить закон и тут и там.BugM
13.11.2018 13:14Технологии подошли к тому что эта защита будет автоматической для всех. Точно так же как шифрование всего http стало автоматическим для всех. Делать ничего не надо. Надо просто установить обновления.
Мы говорим про обычных людей. Понятно что международных наркобаронов такая защита не устроит. Но об их защите я беспокоиться не хочу.
albik
13.11.2018 13:04-1И за что же вас сажать в тюрьму? И, самое главное, зачем?
vindy123
13.11.2018 14:03если вы не толсто троллите, то откройте для себя чудный ментовской конвейер посадок за мемасики. погуглите правоприменительную практику по 282-й статье (возбуждение ненависти и вражды), и 354.1 (реабилитация нацизма), и 148 (оскорбление чувств верующих), и 280.1 (призывы к сепаратизму)
esc
13.11.2018 14:07Есть такая штука, называется «показатели». Когда нет реальных преступлений, будут сажать за репосты чего-то там, потому что план выполнить нужно. Да и по самой статье, которая «за репосты» тоже план есть и его нужно делать.
Поинтересуйтесь, как считается эффективность работы силовых структур на постсовке. За что им дают премии и выговоры.
vconst
13.11.2018 13:40Где VPN не массовый? Практически все «жопоприкрыватели» для смартов — работают через VPN. Если чел ваяет свой — то он, как правило, тоже будет через VPN, в силу того, что проще всего настроить и пользоваться.
dartraiden
13.11.2018 03:42Но по непонятной причине, поддержка DOT & DOH сейчас есть только в «ночных» сборках Firefox
Это не так, она есть в релизе 63. В настройках сети.shifttstas Автор
13.11.2018 08:21Firefox? Wikipedia об этом не знает, если это так — предлагаю дополнить статью там.
PS: по нормальному конечного должен быть режим «по умолчанию» для массового использования.lario7
13.11.2018 11:57Firefox 63.0.1 (64-бит) DOH точно есть (Настройки-Основные-Параметры сети). Вроде работает.
sirocco
13.11.2018 12:33На андроиде также через профиль VPN работает. Фигня. У меня стоит файрвол работающий через VPN, рекламу режет. Как мне их совместить? Никак, либо одно, либо другое. А ещё иногда надо к корпоративному VPN цепляться для доступа к локалке. А всё сразу не включить. Костыли вобщем.
Revertis
13.11.2018 12:55Ну так есть же AdGuard, который и рекламу режет и DNS over Whatever поддерживает.
esc
13.11.2018 12:58Вы настроили vpn просто, чтобы резать через него рекламу?
sirocco
13.11.2018 13:07Нет. У меня AdGuard. Но я не знал что он может DNS over что-то там. А рекламу режет отлично.
esc
13.11.2018 13:31Десктопный adguard и без всяких vpn весь https трафик по-умолчанию расшифровывает и вполне может сообщать о нем куда надо. Лишние телодвижения касательно приватности вам вряд ли нужны)
krokwo
13.11.2018 12:35А в Android 9 это можно включить и без дополнительного приложения
Enable Private DNS with 1.1.1.1 on Android 9 Pie
blog.cloudflare.com/enable-private-dns-with-1-1-1-1-on-android-9-pie
BugM
Неудобно это все. Ждем пока Гугл разродится. За ним все быстро подтянутся.
Вот эту часть бабушке объяснить вообще невозможно.
shifttstas Автор
так для этого и сделали приложение =) кстати от гугла нашел аналог, но согласен надо ждать нативной, системной поддержки в iOS/Android и Chrome