/ Unsplash / Steve Halama
Суть разногласий
В последнее время крупные СМИ и тематические площадки (в том числе Хабр), часто пишут о протоколе DNS over HTTPS (DoH). Он шифрует запросы к DNS-серверу и ответы на них. Такой подход позволяет скрыть имена хостов, к которым обращается пользователь. Из публикаций можно сделать вывод, что новый протокол (в IETF одобрили его в 2018 году) разделил ИТ-сообщество на два лагеря.
Половина считает, что новый протокол повысит безопасность интернета, и внедряет его в свои приложения и сервисы. Другая половина убеждена, что технология лишь усложняет работу системных администраторов. Далее, разберем аргументы обеих сторон.
Как работает DoH
Прежде чем перейти к разговору о том, почему интернет-провайдеры и другие участники рынка выступают за или против DNS over HTTPS, кратко разберем принципы его работы.
В случае DoH запрос на определение IP-адреса инкапсулируется в HTTPS-трафик. Затем он идет HTTP-серверу, где обрабатывается при помощи API. Вот пример запроса из RFC 8484 (стр.6):
:method = GET
:scheme = https
:authority = dnsserver.example.net
:path = /dns-query?
dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
accept = application/dns-message
Таким образом, DNS-трафик скрыт в трафике HTTPS. Клиент и сервер общаются по стандартному порту 443. В результате запросы к системе доменных имен остаются анонимными.
Почему его не жалуют
Противники DNS over HTTPS говорят, что новый протокол снизит безопасность подключений. По словам Пола Викси (Paul Vixie), члена команды разработчиков DNS, сисадминам будет сложнее блокировать потенциально вредоносные сайты. Рядовые пользователи при этом потеряют возможность настроить условный родительский контроль в браузерах.
Мнение Пола разделяют интернет-провайдеры Великобритании. Законодательство страны обязывает их блокировать ресурсы с запрещенным контентом. Но поддержка DoH в браузерах усложняет задачу по фильтрации трафика. Среди критиков нового протокола также значатся Центр правительственной связи Англии (GCHQ) и фонд Internet Watch Foundation (IWF), который ведет реестр заблокированных ресурсов.
В нашем блоге на Хабре:
Эксперты отмечают, что DNS over HTTPS может стать угрозой кибербезопасности. В начале июля ИБ-специалисты из Netlab обнаружили первый вирус, который использовал новый протокол для проведения DDoS-атак — Godlua. Зловред обращался к DoH для получения текстовых записей (TXT) и извлечения URL-адресов управляющих серверов.
Зашифрованные DoH-запросы не распознавались антивирусным программным обеспечением. ИБ-специалисты опасаются, что после Godlua придут другие вредоносы, невидимые для пассивного мониторинга DNS.
Но не все против
В защиту DNS over HTTPS в своем блоге высказался инженер из APNIC Джефф Хьюстон (Geoff Houston). По его словам, новый протокол позволит бороться с атаками DNS hijacking, которые последнее время становятся все более распространенными. Этот факт подтверждает январский отчет ИБ-компании FireEye. Разработку протокола поддержали и крупные ИТ-компании.
Еще в начале прошлого года DoH стали тестировать в Google. И месяц назад компания представила General Availability версию своего DoH-сервиса. В Google надеются, что он повысит безопасность персональных данных в сети и защитит от MITM-атак.
Другой разработчик браузеров — Mozilla — поддерживает DNS over HTTPS с лета прошлого года. При этом компания активно продвигает новую технологию в ИТ-среде. За это ассоциация провайдеров Internet Services Providers Association (ISPA) даже номинировала Mozilla на премию «интернет-злодей года». В ответ представители компании отметили, что разочарованы нежеланием операторов связи совершенствовать устаревшую интернет-инфраструктуру.
/ Unsplash / TETrebbien
В поддержку Mozilla высказались крупные СМИ и некоторые интернет-провайдеры. В частности, в British Telecom считают, что новый протокол не повлияет на фильтрацию контента и повысит безопасность британских пользователей. Под давлением общественности ISPA пришлось отозвать «злодейскую» номинацию.
Также за внедрение DNS over HTTPS выступили облачные провайдеры, например Cloudflare. Они уже предлагают DNS-сервисы на базе нового протокола. Полный список браузеров и клиентов с поддержкой DoH есть на GitHub.
В любом случае говорить об окончании противостояния двух лагерей пока не приходится. ИТ-специалисты прогнозируют, что если DNS over HTTPS все же суждено стать частью массового стека интернет-технологий, на это уйдет не одно десятилетие.
О чем еще мы пишем в нашем корпоративном блоге:
Комментарии (73)
in_heb
29.07.2019 21:46+3Я в ад или рай не верю, но надеюсь, что вендоры dpi будут гореть в аду за их деятельность по помощи правительствам в борьбе с неугодными
Надеюсь что из-за шифрования вендоры dpi станут ненужными
raamid
30.07.2019 09:57-3Если бы все было так просто. Правительство плохое, бунтари хорошие… А если эти «неугодные» будут продавать наркоту вашим детям или вербовать их вступить в войско божье, вы все равно будете их защищать?
Incidence
30.07.2019 10:12+7Не «их» защищать, а средства обеспечения моей приватности. С детьми я разберусь без «помощи» государства, спасибо, нахрен надо.
А вы наверняка держите свою квартиру постоянно незапертой, чтобы кто угодно мог зайти и проверить, что там нет наркоты или божьих воинов?raamid
30.07.2019 10:20-3Квартиру я держу запертой, тамбур на несколько квартир заперт, подъезд заперт, естественно я в основном полагаюсь на себя. Однако, государство — это инфраструктура, которая не позволяет нам скатиться в хаос. Понимаете, не все родители способны разобраться со своими детьми без помощи государства, иногда государство вынуждено защищать детей от их родителей. Иногда государство берет на себя обязанности родителей. Это хуже, чем настоящие родители, но это лучше чем если вашего ребенка за порогом будет ждать малолетняя банда детей взрослой банды.
Подскажите пожалуйста, КАК вы обеспечите безопасность детей без помощи государства. Я тоже не желаю зависеть от государства.Incidence
30.07.2019 10:25+1Подскажите пожалуйста, КАК вы обеспечите безопасность детей без помощи государства
Странный вопрос. У вас дети есть вообще?
У меня есть. И я, как IT-профессионал, смогу, если необходимо, настроить всю технику, которой они пользуются для выхода в Интернет так, чтобы там не было наркоты. Или хотя бы так, чтобы мне об этом стало оперативно известно. Это вопрос технический, а не политический и не мировоззренческий.
Кстати, в реальности я этого даже не делаю — моим детям вполне хватает воспитательных мер, разьяснительных бесед и политики открытого доступа к любой информации с моими пояснениями, что к чему и чем грозит.
Incidence
30.07.2019 10:28+3Однако, государство — это инфраструктура, которая не позволяет нам скатиться в хаос.
Какая чепуха, прости господи. Государство это институциональный инструмент насилия. А то, что вы вынуждены приобретать его услуги по поддержанию порядка это не более чем форма рэкета. Люди прекрасно обходятся без государства и никто не скатывается в хаос.raamid
30.07.2019 10:45-1Отвечу сразу на оба поста здесь. Дети есть. И да, я тоже стараюсь по возможности объяснять и учить основам безопасности в сети. Однако, жизнь не ограничивается сетью, есть еще и улица и там каждый сам за себя. Конечно, дети в основном ведут себя цивилизованно. И взрослые тоже. Но, как долго это продержится без полиции? Что-то мне подсказывает, что через год без полиции люди побегут покупать оружие. А через 2 года и покупать не будет, будут просто «добывать» как в играх. Забыли 90-е? Вот пожалуйста хороший пример того, что происходит если взять и тупо «выключить» государство.
Incidence
30.07.2019 11:11+1Почти всё верно. Только оружие покупать надо не через год, а сразу же, а лучше — заранее. И учиться с ним обращаться и детей этому учить, с малолетства. Только оружием вы сможете по-настоящему отстоять свою свободу и защитить свою собственность, никакая полиция вам этого гарантировать не может. Оружие не положено только рабам, чтобы они не повернули его против хозяев.
90-е я отлично помню как эпоху, когда открылась возможность легально зарабатывать деньги своим умом и трудом без идиотских совковых ограничений (которые я тоже отлично помню) и государство наконец-то почти перестало этому мешать. А то, что вы имели в виду — как раз следствие того, что простым гражданам оружие было нельзя (для любителей придраться — я имею в виду короткоствол с правом ношения и автоматику). Если бы было можно, это резко сократило бы число желающих устраивать бандитский беспредел над заведомо беззащитными людьми.
Вот пожалуйста хороший пример того, что происходит если взять и тупо «выключить» государство.
Это у бесправных совков с рабским менталитетом, дорвавшихся до безнаказанности, так происходит. Как у Шварца в «Драконе» после свержения оного. Из грязи в князи, так сказать.
А у нормальных людей происходит совсем не это. А, например, вот это или вон Германия в 2017 году пол-года или больше как-то продержалась без правительства. Хаос почему-то не настал.raamid
30.07.2019 11:34-1Собственно, я с поправкой на наш менталитет и рассуждал. В Германии, в скандинавских странах, в Японии — там действительно можно можно чувствовать себя в безопасности, даже при отсутствии полиции. У нас — смотря где и когда. Однако, что-то мне подсказывает, что при отсутствии четких правил, люди начинают «сползать» в хаос. Сначала кто-то нарвет для любимой цветы на газоне, потом его не будут поливать, он завянет, по газону начнут ходить… И не успели оглянуться, как без оружия на улицу выйти нельзя. Я конечно утрирую, но идея в том, что должны быть какие-то единые стандарты, если хотите протоколы ) Как взаимодействовать между людьми, как выполнять работу и как ее оплачивать. И государство выполняет эту роль.
Раньше для этого была община или коммуна. В будущем тоже что-то на замену государству будет придумано, я ведь не цепляюсь за идею государства, как за единственно правильную, просто на данный момент альтернативы государству не видно. Представьте себе, что некое государство А «выключилось». Этим тут же воспользуется государство Б и присоединит к себе государство А. И люди снова оказываются в государстве. Это как в эпоху королей, когда люди не представляли себе жизнь без короля, свергали старого короля и ставили нового. Прошло долгое время, прежде чем люди поняли, что можно жить по другому. Так же и с государством. Требуется серьезное изменение сознания большинства людей, а не только аудитории Хабра, чтобы можно было взять и «выключить» государство.yukon39
30.07.2019 16:22Это как в эпоху королей, когда люди не представляли себе жизнь без короля, свергали старого короля и ставили нового.
Не абстрактные люди это делали, а вассалы короля, которые сами хотели стать королями. И ничего они со временем не поняли — пока они мерялись длиной, кхм, своих родословных силу обрела буржуазия и подвинула дворян от власти и денег.
Так и с государством — пока существующие экономические отношения: локальные валюты, локальные регулирования рынков и т.п. вещи имеют место быть никуда государства не денутся.
Но время идет, и уже есть надгосударственное законодательство, надгосударственные валюты, надгосудартсвенные органы правопорядка, суды, армии, гуманитарные и культурные организации. Мобильность трудовых ресурсов, товаров и услуг, культурных традиций сейчас невиданная ранее и время государств в текущем их виде сочтено.geher
30.07.2019 18:45пока они мерялись длиной, кхм, своих родословных силу обрела буржуазия и подвинула дворян от власти и денег.
Самое смешное, что во многих странах первая буржуазия выросла именно из "товарищей" с длинной родословной. Например, в той же Англии даже королева не чуралась инвестицией капиталов в дело, не говоря уже о "простых" лордах.
raamid
30.07.2019 15:44-1Кроме того, в цивилизованных странах спокойствие царит до того, как туда приедут мигранты. Даже если эти люди приехали с доброй волей, желанием работать, все равно будут какие-то трения на почве культурных отличий. Но ведь будут такие (и не мало) кто будет воспринимать культурное поведение за проявление слабости и тогда местным приходится нелегко. Если местного можно было поставить на место взглядом или покашливанием, то приезжие этого просто не замечают. И тогда, свою волю навязвает тот кто сильнее. До приезда полиции. Думаете оружие решит? Оружие-то будет не только у местных, но и у мигрантов, и они охотнее будут им пользоваться. Как эту проблему решать?
Забавно еще и то, что я в глубине души тоже являюсь сторонником перехода к постгосударственному состоянию общества (видите, сейчас этому даже названия этому нет). Но я понимаю, что нельзя что-то убрать и ничем это не заменить. И если вы меня, умеренного сторонника отказа от государства не можете убедить в том, что государство на данном этапе необходимо, то как вы сможете убедить в этом остальных?
Для того, чтобы высказывать точку зрения, она должна быть целостной, продуманной, выстраданной в спорах, чем мы сейчас и занимаемся. Если сказал «А», нужно быть готовым сказать «Б». Если говорите что не нужно государство — предложите, чем его заменить. Предложили, чем его заменить, скажите КАК это сделать, например, если бы весь мир перешел на эсператно (хотя на мой взгляд лучше сделать современный искусственный язык, с использованием частотных словарей и вообще по науке), то это решило бы массу проблем и головной боли, но как сделать так, чтобы мир оказался в той желанной конечной точке?
PS: кстати, в том примере, что вы привели, государство оставалось, всего лишь не было правительства. Налоги продолжали платиться, преступников продолжали ловить, дети учились в школах. Т.е., государство было настолько хорошо организованным, что было способно работать автоматически, без ручного управления, и это хорошо.Incidence
30.07.2019 16:02Оружие-то будет не только у местных, но и у мигрантов, и они охотнее будут им пользоваться.
Отнюдь. Бандит смелый лишь до тех пор, пока он уверен, что у его жертвы нет ствола наготове.
(видите, сейчас этому даже названия этому нет)
Есть. Это называется Либертарианство — философо-политическое учение о первичности личных прав и свобод человека и о том, что государство есть институциональное насилие, от которого следует отказаться.
Для того, чтобы высказывать точку зрения, она должна быть целостной, продуманной, выстраданной в спорах, чем мы сейчас и занимаемся. Если сказал «А», нужно быть готовым сказать «Б». Если говорите что не нужно государство — предложите, чем его заменить. Предложили, чем его заменить, скажите КАК это сделать,
Послушайте, есть большое количество трудов, написанных основоположниками либертарианства, где все перечисленные вами вопросы детально разобраны и решены. Только не надо начинать знакомство с «Атланта» Айн Рэнд, там не всё гладко.
Итак:
Начните с «Овцы в волчьих шкурах» Уолтера Блока, её либертарианская партия помогала перевести и издать в России. Она простенькая вводная.
Затем прочитайте Мюрррея Ротбарда «К новой свободе». Это самый главный либертарианский текст, основополагающий. Там вся теорбаза.
Затем Фридрих Хайек «Дорога к рабству», он объясняет механизмы, которые обязательно извращают все благие намерения, если пытаться добиваться их с помощью государства.
И последнее — Ганс Герман Хоппе «демократия низверженый бог». О том. Почему демократические общества обязательно левеют, и как с этим нужно бороться.
Ещё добавлю Ротбарда «Этика свободы», «Власть и Рынок». и Хайека «Конституция Свободы».
nuclight
31.07.2019 12:45Есть такое учение, и оно внутренне противоречиво, начиная лажать уже с основ (интерпретации Локка).
Кроме того, даже среди либертарианцев есть, кто говорят, что государство нужно, просто надо четко очертить его роль — почитайте например Михаила Пожарского (telegram-канал «Киты плывут на вписку с ЛСД»)Incidence
31.07.2019 12:47Китов я читаю уже очень давно, и отличие минархистов от анархо-капиталистов мне также прекрасно известно.
Скажем так, Пожарский, на мой взгляд, недостаточно хорошо владеет теорией либертарианства для столь категоричных суждений :)
В этом смысле лекции Михаила Светова мне как-то ближе.nuclight
31.07.2019 15:57Либертарианцы ей в принципе плохо владеют, что заметно любому, хорошо знакомому с психологией — как, впрочем, и любые другие политические идеологии (читай, религии).
Incidence
01.08.2019 14:20Настоящие либертарианцы — хорошо владеют, вы наверное не сталкивались ещё с ними.
А кроме того, либертарианство это не идеология. Она не требует от человека принятия каких-то догматических постулатов помимо соблюдения естественных прав человека (самопринадлежность, неприкосновенность и т.п.).
geher
31.07.2019 21:29Отнюдь. Бандит смелый лишь до тех пор, пока он уверен, что у его жертвы нет ствола наготове.
Ага, аж два раза.
Наличие ствола у жертвы приводит к другим методам атаки на жертву. Например, жертве не угрожают оружием, а просто стреляют в спину.
Собственно, в тех же США (по крайней мере в некоторых штатах) у каждого может оказаться оружие, но бандиты, в том числе вооруженные, почему-то не переводятся.Incidence
02.08.2019 00:07оказаться оружие, но бандиты, в том числе вооруженные, почему-то не переводятся.
А вы обратили внимание на то, что почти все масс-шутинги последних лет почему-то случаются именно в gun-free зонах? То есть там, где люди будут заведомо беззащитны перед огнестрелом?
А во там где ствол буквально у каждого, такой «герой» не прожил и нескольких шагов — был недавно прецедент, в церкви что ли.geher
02.08.2019 17:00А вы обратили внимание, что кроме массовых побоищ происходят и обычные преступления с применением оружия и без в любых локациях.
geher
30.07.2019 18:39Только оружием вы сможете по-настоящему отстоять свою свободу и защитить свою собственность, никакая полиция вам этого гарантировать не может.
Очередная иллюзия. На ваше лично оружие всегда найдется толпа с оружием, которая задавит плотностью огня. Полиция, конечно, тоже не гарантия, но и
молитьсяуповать на оружие тоже несерьезно.
А на самом деле безопасность выстраивается вместе с отношениями с окружающими. Уповая только на оружие вы уменьшаете свою безопасность.
А то, что вы имели в виду — как раз следствие того, что простым гражданам оружие было нельзя (для любителей придраться — я имею в виду короткоствол с правом ношения и автоматику).
Это бы ничего не изменило. Большинство людей просто неспособны выстрелить в другого человека. Прошивка в мозгах не позволяет.
А те, кому позволяет, тоже ничего себе не гарантируют.
Кстати, как показывает реальная практика (с ранениями и трупами), травматический пистолет на реальных дистанциях применения оружия в городе вполне себе серьезное летальное оружие. Только оно не сильно помогло большинству владельцев травматов, когда реально припекло.Incidence
31.07.2019 10:06На ваше лично оружие всегда найдется толпа с оружием, которая задавит плотностью огня.
На этот случай у меня тоже найдётся толпа единомышленников.geher
31.07.2019 21:46В данном случае первично именно наличие толпы единомышленников, а не оружия лично у вас.
Причем толпы не разрозненной, а сплоченной, готовой действовать совместно в любой момент времени. В противном случае толку от такой толпы ровно ноль.Incidence
02.08.2019 00:05Либертарианская парадигма поощряет создание добровольных общин. Впрочем, охранные услуги такого рода могут предоставляться на коммерческой основе частными охранными структурами.
Ghool
29.07.2019 22:36+4Ожидание: в статье будет написано, что DoH и правда в чём-то плох
Реальность: DoH плох тем, сто мешает работе DPI
Остальное какое-то нытьё, типа «в txt-записях размещали адреса управляющих серверов»
Да блин, можно и на https-сайте разместить адреса управляющих серверов, и теперь https стал опасен?mediaman
30.07.2019 10:01+1Людей и компании все же беспокоит ИБ и опасность вредоносных подключений, которые будет не отследить. Ну и противники DoH не просто выступают против стандарта, но и предлагают альтернативу. Тот же Викси, которого упоминают в статье, он автор первого успешного анти-спам сервиса и принимал участие в разработке DNS. Он ратует за альтернативу – DNS over TLS. В этом случае трафик DNS все равно шифруется, но передается по отдельному порту.
Ghool
30.07.2019 12:53+1Ну, вопрос в цели.
Со стороны пользователей:
Если мы внедряем шифрование dns-запросов, очевидно это значит, что мы НЕ ХОТИМ, что бы их кто-то мог просматривать.
И если никто не сможет выделить dns-запросы из остального https-трафика, нам только на руку.
Со стороны админов:
Викси говорит, что админам-де нужно смотреть, что там с dns-трафиком.
Но если админы не расшифровывают трафик — они могут узнать только сам факт такого трафика.
Не понимаю, какие тут плюсы.
Другая ситуация — если админы ставят свой корневой сертификат и расшифровывают весь трафик.
Тогда действительно, dns-запросы на отдельном порту будут им удобнее — можно мониторить их и пропускать весь остальной https-трафик.
НО!
Я не верю, что админы будут расшифровывать dns-трафик и НЕ БУДУТ расшифровывать остальной https-трафик.
А раз так — какая разница, можно ничего и не делить — пусть всё идёт по одному порту, ибо прятать dns от провайдеров/злоумышленников/АНБ так и правда удобнее.
geher
30.07.2019 18:51А раз так — какая разница, можно ничего и не делить
Разница на самом деле есть. Проще писать автоматические процедуры мониторинга трафика, если он уже по крайней мере отсортирован по портам.
Scondo
30.07.2019 16:03Ну, в статье описано то на счёт чего хайп.
Я вот в комментариях к другим статьям писал о других совершенно проблемах DoH: формирование единой точки отказа и анализа запросов при включении DoH по умолчанию.
DNS классический — это относительно эффективно распределённая система. DoH — крайне централизованная на его фоне. Конечно, можно тщательной настройкой сменить сервер при отказе, но по сравнению с существующим DNS это не очень эффективно.force
30.07.2019 17:04Ну стоит добавить, что DoH ещё и гораздо медленнее чем классический DNS, тоже одна из проблем.
shifttstas
30.07.2019 20:05Это не правда, соединение там прекрасно живет в keep-alive.
force
30.07.2019 22:19До keep alive нужно ещё дойти. Условно говоря, если DoH через Google, а открываете какой-то другой сайт, то keep alive вообще ни при чём. Вместо двух UDP пакетов нужно 4 (лень щас считать) + небольшие томоза на сам факт SSL
shifttstas
01.08.2019 08:39С чего бы? У вас локальный револьвер всегда держит коннект с DOH сервером, при запросе IP желаемого сервера происходит ровно два «тика» — вопрос/ответ — т.к соединение уже установлено и TLS HANDSHAKE пройден.
force
01.08.2019 09:04Да, о том, что локальный резолвер всегда висит подключённый — не подумал. Правда, если оно порвётся, то будет плохо. При этом нагрузка на удалённые сервера должна быть жёсткая, держать огромное количество соединений. Но Гуглу и Клаудфлеру не жалко :)
shifttstas
01.08.2019 09:47Ну там ещё есть быстрое открытие соединения, даже при разрыве ничего такого быть не должно. Добавим сюда QUIC вместо TCP/HTTPS транспорта и получим ускоренный коннект при смене сети.
Scondo
31.07.2019 09:50Помимо таких вещей как keep-alive не надо забывать, что правильно настроенный DNS в сети добросовестного провайдера тупо географически ближе.
shifttstas
01.08.2019 08:41Но не факт, что быстрее сколько я измерял, сервера CloudFlare/Google быстрее отвечают при бенчмарках чем провайдерский. Вы сами можете провести измерение, с вероятностью 80% для вас провайдерский так же будет медленнее чем от CDN провайдеров.
Scondo
01.08.2019 09:00Померял, получилось по скорости:
1) Роутер
2) Клаудфлейр
3) Провайдер
4) Гуглshifttstas
01.08.2019 09:49А на роутере какие DNS? Если от провайдера то он дал ускорение кэшированием, если там поменять на Cloudflare будет ещё лучше.
shifttstas
30.07.2019 20:05В чем она централизирована? Все ровно так же как с обычным DNS, меняется только транспорт.
DerRotBaron
30.07.2019 23:54Железки и софт (будут) прибиты к резолверам вендора, тогда как адреса обычных DNS обычно ISP или админ локалки раздает через DHCP.
Это ведет к нескольким проблемам:
- Зависимость от сервисов вендора, которые имеют свойство ложиться
- Зависимость от отключения данных сервисов т. е. еще одна точка программного устаревания
- Дополнительная утечка данных к вендору (что может быть хуже, чем к VPN провайдеру/хостеру или ISP). И телеметрия не нужна.
И ладно бы это было как-то нормально конфигурируемо, в хорошем случае это будет что-то уровня "очевидного" ключа
network.trr.uri
вabout:config
или реестре, в худшем вхардкожено в прошивку.shifttstas
01.08.2019 08:43- Вы думаете uptime у Google DNS ниже чем у провайдерского?)
- Какой смысл Google его отключать?
- При какой ситуации это хуже? Google и так соберёт статистику из Chrome. Тут же мы отсекаем ещё 1 «человека по середине»
DerRotBaron
01.08.2019 17:04Даже если в сотни раз, одно падение гуглового DNS приведет к катастрофе: "интернет сломается" у всех пользователей Android и Chrome
Вопрос не имел смысла, если бы это не был Гугл. К тому же они могут не выключить, но сломать совместимость т.к. в случае DoH канал разрешения имен на обоих концах будет им подконтролен.
Не все собирают телеметрию в таких объемах. Некоторые (Mozilla) и вовсе ставят дефолты на чужие DoH-резолверы.
shifttstas
01.08.2019 19:43Маловероятный сценарий, у гугла же есть GGC что делает его фактически локальным резолвером в сети провайдера + распределённым.
Scondo
31.07.2019 09:39Помимо того, что уже написали про DHCP — я, как админ локалки, могу поднять свой локальный DNS, полагающийся не на DNS провайдера, а не полноценный механизм от корневого DNS и, таким образом, если дополнительных препятствий мой провайдер не чинит — получать ответ настолько гарантировано, насколько это вообще возможно.
ZetaTetra
29.07.2019 23:02К сожалению не знаком с DoH, поэтому возникло пару вопросов:
1) При чём тут родительский контроль в браузерах? Есть много вариантов перехвата траффика на клиенте. Особенно в браузерах.
2) При ssl/tls соединении, первый запрос за сертификатом идёт вида:
CONNECT grani.ru
Как DoH позволит помешать цензору перехватить запрос сертификата?in_heb
29.07.2019 23:10+1Для описанной вами проблемы уже придуман esni (encrypted sni) и медленно, но верно идёт к успеху. Осталось залатать dns, чтобы любителям пассивного мониторинга и активных блокировок по DNS стало жить сложнее
merhalak
29.07.2019 23:35Будут по старинке блочить по IP. Как обычно, накроют множество невиновных.
melodictsk
30.07.2019 05:12Надеюсь к тому времени уже везде будет IPv6
GennPen
30.07.2019 09:49+1По IPv6 уже блокируют, как минимум ДомРу. Благо, блокируют по единичным адресам, а владельцы ресурсов хоть каждую минуту их могут менять, т.к. обычно выдается /64 подсеть.
shifttstas
30.07.2019 20:08Это прекрасно, это повышает цену атаки.
Хочешь заблокировать Гугл? Окей, ничего на Android работать не будет и в Chrome. Хочешь iCloud — окей, Сбербанк перестанет работать на iPhone.DerRotBaron
30.07.2019 23:20В большинстве случаев предусмотрен fallback на обычный DNS. А в некоторых регионах DoH вообще включать не будут потому, как там это приведёт к проблемам.
Хороший пример — Великобритания, где и правительство очень расположено к цензуре, и провайдерам интереснее зарубить эту инициативу на корню, чтобы оттянуть "роскомнадзоровский" сценарий блокировок по IP на годыshifttstas
31.07.2019 08:11И как же они оттянут? Вот выходит новая версия хрома и что дальше?
DerRotBaron
31.07.2019 13:01И наверняка DoH по умолчанию включат далеко не во всех регионах
shifttstas
01.08.2019 08:44С чего бы? HTTPS везде включали разом и уведомление о его отсутствии на сайте.
DerRotBaron
01.08.2019 17:06С того, например, что некоторые регионы имеют сказать по этому поводу больше остальных. Вопрос DNS куда ближе к регулятивной деятельности государств, чем HTTPS
Mem0
30.07.2019 11:03+1ИТ-специалисты прогнозируют, что если DNS over HTTPS все же суждено стать частью массового стека интернет-технологий, на это уйдет не одно десятилетие.
I’m thinking the rollout will happen at “IPv6 speed”. We don’t have to have it but we do need it over time. We don’t have to have it but we do need it over time.
Ну не знаю, для ведрения DoH не нужно менять кучу оборудования, настраивать новую маршрутизацию, настраивать клиентов. В той же Мозилле она включается одной галкой в настройках, а в следующей версии они могут включить её по умолчанию, если надо. как только появится необходимость охват этой технологией можно очень быстро поднять на очень высокий уровень.
shifttstas
Особенно понравилась концовка, с чего сделан такой вывод?
Уже сейчас в Canary Chrome он есть, дойдёт до публичной версии и можно считать что перешли. Остальные браузеры достаточно быстро добавят. В протоколе заинтересованы все участники: контент провайдеры (защита), производители браузеров (безопасность) компании типа Google — дополнительный источник информации.
Против только те, кто пытаются что-то где-то блокировать и собственно больше никто.
GritsanY
Внутри организаций все сисадмины, что действительно заботятся о безопасности, продолжат блокировать неугодные сайты с помощью SSL split (думаю, допилить его на поддержку DoH будет несложно — всё-таки у админов полный контроль над компьютерами пользователей). А вот провайдеры с кучей денег, вложенных в DPI, обломятся. Единственным выходом станет внедрение «национального сертификата безопасности» как в Казахстане и сопутствующая борьба с ветряными мельницами.
shifttstas
Им на помощь спешит TLS 1.3, если взять все 3 технологии вместе то будет замечательно: TLS 1.3, DOH (с захардкоженным google или cloud flare DNS по умолчанию) и eSNI.
GritsanY
TLS 1.3 в данный момент практически на всех решениях SSL split обходится принудительным даунгрейдом. Насколько я знаю, Cisco полностью переписывают библиотеку SSL в своих решениях FirePOWER, к концу года ожидается поддержка декрипта TLS 1.3. Если кто лично трогал работающее решение от других вендоров — пожалуйста, поделитесь.
glowingsword
Зачем совать это в браузер, когда DoH и DNS over TLS можно юзать на уровне маршрутизатора или хотя-бы на уровне ОС? И таки да, DNS используются не только браузером, а ещё почтовиками, мессенджерами и практически всем другим ПО, что юзает сеть.
У меня дома, к примеру, на маршрутизаторе настроены два DNS подключения через безопасные протоколы(DoH и DNS over TLS). К другим DNS локальному DNSMasq запрещено обращаться. И весь DNS-трафик с маршрутизатора идёт через DoH и DNS over TLS от двух уважаемых провайдеров DNS, известных во всём мире.
shifttstas
Затем, что браузер можно обновить быстро, я не сомневаюсь, что со временем DOH/DOT будет работать на системном уровне, однако многие фичи вначале приходят в браузер.
glowingsword
В Linux уже всё может работать на системном уровне, проблема только в проприетарных ОС. Но и туда поддержку скоро, думаю, добавят…
shifttstas
Прямо из коробки и по дефолту?
DerRotBaron
В некоторой степени. Из репозитория, но пока ещё не в дефолтном варианте развертывания
shifttstas
С тем же успехом на OS X это можно сделать, но это не массовый путь.
glowingsword
Что вы подразумеваете по дефолту и из коробки? Свежеустановленные дистрибутивы без соответствующей настройки не умеют, пока, так как в соответствующее ПО для настройки сети пока не интегрировали поддержку данных протоколов. Нужно ставить дополнительный пакет и вносить небольшие правки в конфиг NetworkManager. Но это дело буквально 1 минуты, а Linux без кастомных пакетов и правки конфигов вменяемые люди вообще не используют, как и Windows — кому нужна не настроенная ОС без прикладного ПО?
shifttstas
Из коробки это именно из коробки — поведение дистрибутива после установки, когда после очередного обновления iOS/Android/другая OS вместо DNS будет DOH — тогда и можно говорить, что теперь функционал включён по умолчанию.