DNS Over TLS & Over HTTPS (Далее DOT & DOH) — пожалуй именно те технологии которые кардинально повышают приватность и безопасность в Интернете. Есть еще Encrypted SNI, но для её использования нужны DOH и DOT

Обращаю внимание, само приложение — очень UserFriendly даже без глубоких знаний технологий настоятельно рекомендуется ознакомится с ним.


Краткая справка: DNS — система получения IP адреса, фундаментальная часть интернета, которая используется каждый раз при веб браузинге. Открывая тот или иной ресурс, вы сообщаете своему оператору связи куда вы зашли, причем даже если вы поменяете DNS на другой (8.8.8.8 от Google например) — это вам не поможет, из-за отсутствия шифрования в протоколе, что позволяет производить подмену и перенаправление трафика не целевой сервер (фактически атака MITM).

Совсем недавно основной проблемой безопасности в сети был HTTP, но, спасибо Google & LetsEncrypt — она практически решена — теперь что конкретно вы смотрите на сайте — теперь неизвестно провайдеру, осталось только две проблемы:

  1. DNS Leak: Это та самая проблема которая может быть решена используя DOH & DOT
  2. Domain SNI Leak — проблема раскрытия SNI возникает при установке HTTPS соединения с сайтом, однако, перед началом зашифрованной передачи — браузер в открытом виде передаёт доменное имя сайта для соединение серверу, стандарт eSNI решит эту проблему, но это следующий шаг



Некоторое время назад, на Habr были опубликованы статьи: (рекомендую ознакомиться):

  1. Google Public DNS тихо включили поддержку DNS over TLS
  2. Встречаем сервис от Cloudflare на адресах 1.1.1.1 и 1.0.0.1, или «полку публичных DNS прибыло!»

И казалось бы, счастье уже близко, две крупные компании решили реализовать новые протоколы и вот-вот поддержка доберётся до конечных пользователей. (Особенно в случае с Chrome)

Но по непонятной причине, поддержка DOT & DOH сейчас есть только в «ночных» сборках Firefox, не говоря уже о системном уровне Android & iOS.

Однако, спасибо CloudFlare, который решил воспользоватся медлительностью Google, и выпустил приложение для iOS & Android

Приложение очень простое, в случае с iOS работа осуществляется через установку профиля VPN
Не путать с настоящим VPN! После установки профиля — фактически будет установлен VPN к самому себе (на 127.0.0.1) и DNS запросы будут отправлены в CloudFlare через DOT & DOH, трафик же пойдет по обычному маршруту.



Что приятно, в приложение есть возможность настроить режим DNS Over TLS или DNS Over HTTPS. по умолчнию используется последний вариант.


Отмечу еще раз, появление иконки VPN не говорит об использовании «VPN» в привычном смысле этого слова, убедится вы сможете зайдя на любой определитель IP, например 2ip.ru

И еще, в случае смены DNS в настройках сети — при переходе от WiFi к WiFi вам нужно каждый раз менять настройки, не говоря уже о DNS для сети оператора связи, редактировать этот параметр иногда вообще невозможно.

В случае с приложением — для любых сосединений будет автоматическим использован DOH / DOT от CloudFlare.

Комментарии (72)


  1. BugM
    12.11.2018 22:14
    +2

    Неудобно это все. Ждем пока Гугл разродится. За ним все быстро подтянутся.

    И еще, в случае смены DNS в настройках сети — при переходе от WiFi к WiFi вам нужно каждый раз менять настройки, не говоря уже о DNS для сети оператора связи, редактировать этот параметр иногда вообще невозможно.

    Вот эту часть бабушке объяснить вообще невозможно.


    1. shifttstas Автор
      12.11.2018 22:22

      так для этого и сделали приложение =) кстати от гугла нашел аналог, но согласен надо ждать нативной, системной поддержки в iOS/Android и Chrome


  1. worldxaker
    12.11.2018 22:52

    в 9 ведре DOH есть и так


  1. ivanrt
    13.11.2018 02:20

    Удобно, зачем NSA связываться с местными провайдерами или перехватывать трафик. Приходишь к cloudflare и спрашиваешь кто там в последнее время заходил на сайт example.com.


    1. esc
      13.11.2018 08:41

      это делается не ради nsa, а для защиты монополии на браузерную историю пользователей.


      1. shifttstas Автор
        13.11.2018 09:52

        Почему? Кто вам мешает сделать свой личный DOH сервер?
        Основной плюс — конфиденциальность и защита от MITM + подготовка к eSNI.

        В конечном итоге транспорт (провайдеры) будут видеть только IP + порт и шифрованную HTTPS трубу, в которой неизвестно что летит, а при TLS 1.3 все совсем хорошо — там и Perfect Forward Security есть.


        1. esc
          13.11.2018 11:37

          «личный» никого не волнует. Волнует, чтобы провайдеры не имели доступа к поисковыми запросам и посещенным страницам своих пользователей. Сейчас эта информация почти полностью у Гугла и больше взять ее негде.

          Но раньше такую информацию продавали и некоторые крупные провайдеры, продавали тем же клиентам, по сути. Гуглу такая «альтернатива» не нравилась, отсюда и повальное внедрение https везде где можно. Гугл просто перекрыл доступ к данным поиска и посещений для всех, кроме себя.

          Единичные пользователи никому не интересны, важно было перекрыть именно массовый сбор данных.


          1. shifttstas Автор
            13.11.2018 11:59

            А в чем проблема? Раньше доступ имели все, сейчас только Google (ну не только он)

            Однако — раньше нельзя было никак себя обезопасить от доступа истории браунинга, сейчас — масса методов в 1 клик.

            Чем меньше сторон имеет доступ к данным — тем лучше.


            1. esc
              13.11.2018 12:02

              Именно себя можно было обезопасить очень давно, vpn называется (и другие туннели).

              Я к тому, что не стоит думать, что Гугл этими инициативами заботится о вашей приватности. У Cloudflare тоже свои виды на этот счет.


              1. shifttstas Автор
                13.11.2018 12:14

                VPN — не массовый метод, а вот DNS — вполне. Отказаться от слежки гуглом — можно, а вот от слежки провайдером — нет. (Это я о сравнении http vs https и DNS vs DOH)


                1. esc
                  13.11.2018 12:16

                  Как вы откажетесь от слежки Гуглом?
                  Как раз vpn помогает против слежки провайдером. Чтобы решить вопрос для себя. От Гугла так просто не спрячешься…


                  1. shifttstas Автор
                    13.11.2018 12:18

                    Чойто? Chromium + любой другой DNS.

                    Опять же подчёркиваю, VPN не массовый метод.


                    1. esc
                      13.11.2018 12:30

                      Гугл вас отслеживает десятками способов. Так что одним лишь Хромиумом не обойтись, надо использовать какой-то приватный режим с сохранением кук только от вручную прописанных сайтов. И вообще не заходить ни в один из сервисов Гугла. Тогда, возможно, он о вас и не узнает.


                      1. shifttstas Автор
                        13.11.2018 12:35

                        Трекинг от Google на мой взгляд более безопасен, чем со стороны провайдера и всей цепочки узлов между сайтом и вами.


                        1. albik
                          13.11.2018 12:41

                          А какая разница, кто будет продавать ваши профили — провайдер или гугл?


                          1. BugM
                            13.11.2018 12:47
                            +3

                            Гугл очень большой и далеко. Если Гугл станет продавать (или у него утечет) персональную инфу плохо станет большинству людей в мире. От российского товарища майора Гугл может защищаться долгими переписками и судами.
                            На не российских товарищей майоров плевать, они меня в тюрьму не посадят.

                            А провайдер мелкий и рядом. Защиты от товарища майора у провайдера нет. Он обязан ему все отдать по первому свистку. Лицензию терять провайдеру не хочется.
                            От продажи или утечки инфы у любого провайдера пострадают только его клиенты, что в мировом масштабе мелочи. Не хочется быть в пострадавшей группе.


                            1. esc
                              13.11.2018 12:54

                              Согласен на 100%, но с другой стороны, пока не введены белые списки, самого себя от слежки провайдером можно обезопасить с помощью туннеля.
                              А от Гугла это будет не так просто сделать. И при необычайном стечении обстоятельств, он таки передаст нужные данные «вашим» спец. службам (или заинтересует ими своих). Правда, для этого надо реально очень серьезно нарушить закон и тут и там.


                              1. BugM
                                13.11.2018 13:14

                                Технологии подошли к тому что эта защита будет автоматической для всех. Точно так же как шифрование всего http стало автоматическим для всех. Делать ничего не надо. Надо просто установить обновления.

                                Мы говорим про обычных людей. Понятно что международных наркобаронов такая защита не устроит. Но об их защите я беспокоиться не хочу.


                            1. albik
                              13.11.2018 13:04
                              -1

                              И за что же вас сажать в тюрьму? И, самое главное, зачем?


                              1. vindy123
                                13.11.2018 14:03

                                если вы не толсто троллите, то откройте для себя чудный ментовской конвейер посадок за мемасики. погуглите правоприменительную практику по 282-й статье (возбуждение ненависти и вражды), и 354.1 (реабилитация нацизма), и 148 (оскорбление чувств верующих), и 280.1 (призывы к сепаратизму)


                              1. esc
                                13.11.2018 14:07

                                Есть такая штука, называется «показатели». Когда нет реальных преступлений, будут сажать за репосты чего-то там, потому что план выполнить нужно. Да и по самой статье, которая «за репосты» тоже план есть и его нужно делать.

                                Поинтересуйтесь, как считается эффективность работы силовых структур на постсовке. За что им дают премии и выговоры.


                1. vconst
                  13.11.2018 13:40

                  Где VPN не массовый? Практически все «жопоприкрыватели» для смартов — работают через VPN. Если чел ваяет свой — то он, как правило, тоже будет через VPN, в силу того, что проще всего настроить и пользоваться.


                  1. shifttstas Автор
                    13.11.2018 14:22

                    Массовое использование — это на уровне браузера или OS.


  1. dartraiden
    13.11.2018 03:42

    Но по непонятной причине, поддержка DOT & DOH сейчас есть только в «ночных» сборках Firefox
    Это не так, она есть в релизе 63. В настройках сети.


    1. shifttstas Автор
      13.11.2018 08:21

      Firefox? Wikipedia об этом не знает, если это так — предлагаю дополнить статью там.
      PS: по нормальному конечного должен быть режим «по умолчанию» для массового использования.


      1. Arty_Fact
        13.11.2018 10:56

        Подтверждаю:
        image
        Firefox Quatum 63.0 (64-бит)


      1. lario7
        13.11.2018 11:57

        Firefox 63.0.1 (64-бит) DOH точно есть (Настройки-Основные-Параметры сети). Вроде работает.


  1. sirocco
    13.11.2018 12:33

    На андроиде также через профиль VPN работает. Фигня. У меня стоит файрвол работающий через VPN, рекламу режет. Как мне их совместить? Никак, либо одно, либо другое. А ещё иногда надо к корпоративному VPN цепляться для доступа к локалке. А всё сразу не включить. Костыли вобщем.


    1. Revertis
      13.11.2018 12:55

      Ну так есть же AdGuard, который и рекламу режет и DNS over Whatever поддерживает.


    1. esc
      13.11.2018 12:58

      Вы настроили vpn просто, чтобы резать через него рекламу?


      1. sirocco
        13.11.2018 13:07

        Нет. У меня AdGuard. Но я не знал что он может DNS over что-то там. А рекламу режет отлично.


        1. esc
          13.11.2018 13:31

          Десктопный adguard и без всяких vpn весь https трафик по-умолчанию расшифровывает и вполне может сообщать о нем куда надо. Лишние телодвижения касательно приватности вам вряд ли нужны)


  1. krokwo
    13.11.2018 12:35

    А в Android 9 это можно включить и без дополнительного приложения
    Enable Private DNS with 1.1.1.1 on Android 9 Pie
    blog.cloudflare.com/enable-private-dns-with-1-1-1-1-on-android-9-pie