Две недели назад на Хабре рассказывали о протоколе DNS-over-HTTPS (DoH) , недавно принятом в качестве стандарта RFC 8484. Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас государство или злоумышленник на уровне провайдера может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.
И самое главное — организация Mozilla приняла решение включить его по умолчанию в браузере Firefox. Пока что только для пользователей США. Но в свете того, что менее полутора месяцев осталось до вступления в силу закона об изоляции Рунета, а закон Яровой уже вступил в силу, методы шифрования трафика как никогда актуальны для защиты от слежки в российском интернете.
Но сейчас пришла не очень приятная новость. Оказывается, в некоторых странах, где уже действует цензура трафика на государственном уровне, Mozilla может изменить своё решение. Такое обсуждается в Великобритании. Теоретически, такое может произойти и в России.
Решение Mozilla включить DoH вызвало обеспокоенность в Великобритании, поскольку технология нарушает многие из централизованных систем фильтрации и блокировки, которые «предотвращают лёгкий доступ к изображениям жестокого обращения с детьми, пиратским и террористическим материалам, а также воздействует на системы родительского контроля».
Издание The Guardian получило доступ к письму, направленному Никки Морган (Nicky Morgan) секретарю по культуре Великобритании. В нём вице-президент Mozilla по глобальной политике, доверию и безопасности Алан Дэвидсон (Alan Davidson) пишет, что некоммерческая организация «не планирует включать нашу функцию DoH по умолчанию в Великобритании и не будет делать этого без дальнейшего взаимодействия с государственными и частными заинтересованными сторонами».
Дэвидсон объясняет преимущества шифрования трафика: «Мы твёрдо верим, что DoH предложит реальные преимущества в области безопасности для граждан Великобритании. DNS является одной из старейших частей архитектуры интернета и остается в значительной степени нетронутой усилиями по повышению безопасности интернета. Поскольку текущие запросы DNS не зашифрованы, то путь между гражданином и сайтом по-прежнему открыт и используется плохими участниками, которые хотят нарушить конфиденциальность пользователей, атаковать коммуникации и шпионить за деятельностью в интернете. Самую личную информацию людей, такую как их данные, связанные со здоровьем, можно отслеживать, собирать, передавать и использовать против интересов людей. Ваши граждане заслуживают защиты от этой угрозы».
Таким образом, Mozilla пытается убедить правительственные службы и объяснить им премущества DoH. Но все понимают, что одним из побочных эффектов шифрования трафика в Великобритании является то, что он также обходит веб-фильтры Великобритании, которые используют ту же технику перехвата DNS-запросов, чтобы предотвратить доступ к веб-сайтам, заблокированным интернет-провайдерами.
Фонд Internet Watch Foundation, который предоставляет интернет-провайдерам список заблокированных веб-сайтов для фильтрации, выразил свою озабоченность по поводу этой технологии: «Мы считаем, что способ, которым предлагается реализовать DNS-over-HTTPS, может показать миллионам людей по всему миру самые ужасные изображения детей, подвергающихся сексуальному насилию, и может означать, что жертвы такого насилия станут открыты для просмотра бесчисленному количеству зрителей», — сказал представитель технического сайта The Register.
Недавно по этой причине Ассоциация интернет-провайдеров Великобритании (ISPA-UK) назвала Mozilla «одним из главных злодеев интернета». Согласно формулировке ISPA-UK, звание «злодея интернета» Mozilla получила «за предложенный ими подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти британские обязательства по фильтрации и родительскому контролю, подрывая стандарты безопасности интернета в Великобритании».
«Нас беспокоят компании и организации, которые тайно собирают и продают пользовательские данные. Поэтому мы добавили защиту от слежения, — писала Лин Кларк от имени Mozilla вскоре после принятия стандарта. — Благодаря двум этим инициативам (+ Trusted Recursive Resolver) устраняются утечки данных, которые являлись частью системы доменных имен с момента её создания 35 лет назад».
«Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. Этот запрос иногда включает ваш полный IP-адрес. А если не полный адрес, то всё чаще запрос включает в себя большую часть вашего IP-адреса, что можно легко объединить с другой информацией, чтобы установить вашу личность.
Значит, каждый сервер, который вы попросите помочь с разрешением доменных имен, видит, какой сайт вы ищете. Более того, любой по пути к этим серверам тоже видит ваши запросы. Существует несколько способов, как подобная система подвергает риску данные пользователей. Два основных — трекинг (отслеживание) и спуфинг (подмена).
По полной или частичной информации об IP-адресе несложно определить личность того, кто просит доступ к конкретному сайту. Это означает, что DNS-сервер и любой пользователь на пути к этому DNS-серверу (маршрутизатор по пути) может создать профиль пользователя. Они могут составить список всех сайтов, которые вы просмотрели.
И это ценные данные. Многие люди и компании готовы немало заплатить, чтобы увидеть вашу историю посещённых страниц».
Из статьи Лин Кларк
Впрочем, после широкого общественного резонанса через месяц ISPA-UK отозвала эту «награду» и полностью отменила номинацию с комментарием, что она «явно посылает неверное сообщение».
Google также объявила о планах тестировать DoH в своем браузере Chrome, начиная с октября. Компания не будет включать DoH для каждого пользователя, но говорит, что по умолчанию DoH будет работать для тех технически продвинутых пользователей, которые решили переключить своего поставщика DNS на такие компании, как Google, Cloudflare и OpenDNS.
Для сохранения цензуры представитель правительства Великобритании ссылается на необходимость защиты детей: «Сексуальная эксплуатация детей является отвратительным преступлением, с которым правительство стремится бороться, — сказал он. Хотя мы стремимся поддерживать безопасность и конфиденциальность в интернете, крайне важно, чтобы все сектора цифровой индустрии учитывали безопасность детей при разработке своих систем и услуг. Мы работаем с индустрией над решениями любых потенциальных проблем в рамках нашей текущей работы, чтобы сделать Великобританию самым безопасным местом в мире, чтобы выходить в интернет».
Почему возникли такие разногласия именно вокруг блокировки по DNS? Отраслевые эксперты считают, что проблема может быть в корпоративных договорённостях. Именно из-за них все так восстали против Mozilla:
«На самом деле, всё просто, — писал российский эксперт Михаил Климарёв, исполнительный директор Общества защиты интернета. — Ассоциация провайдеров Великобритании давно воюет против блокировок. В итоге, они с правительством договорились на то, что блокировки будут делать „по DNS”. То есть, без всяких DPI и „по айпишнику”. Именно потому Mozilla — злодей. Ибо блокировать по DNS будет бесполезно. Точнее — об этом все и раньше знали, а Mozilla публично заявила, что теперь все это бесполезно. И теперь членам Ассоциации придется передоговариваться как-то. Или брать уроки у РКН».
Протокол DoH значительно усложняет властям возможности блокировки, но теоретически власти всё равно могут отслеживать трафик. Если смотреть на проблему блокировок более глобально, то в такой ситуации снова и снова возникает вопрос. Формулировка сторонников государственной фильтрации предполагает, что внедрение шифрования и надёжной приватности угрожает безопасности пользователя, потому что государственный «защитник» не сможет его защищать. В данном случае DNS-over-HTTPS мешает провайдерам фильтровать вредный контент. Такая логика противопоставляет приватность и безопасность.
Личную приватность действительно можно противопоставить общественной безопасности. Сейчас идут дискуссии, что важнее и в какую сторону сместить акценты. Например, власти некоторых стран склоняются к тому, чтобы вообще запретить end-to-end шифрование в любых мессенджерах. Некоторые правительства вводят принудительную фильтрацию трафика, ограничивая доступ населения к определённому списку сайтов, как в Великобритании и России.
Сторонники противоположной концепции личной приватности указывают на распространение слежки, что в перспективе угрожает нормальной жизни человека. Об этом же сказано в Манифесте Mozilla, где принцип № 4 гласит: «Безопасность и приватность пользователей Интернета имеют основополагающее значение и не могут рассматриваться как второстепенные моменты».
Отказываясь от шифрования, человек фактически отказывается от собственной защиты. Это хорошо видно на примере DNS-over-HTTPS, которая защищает от MiTM-атак, в том числе со спуфингом страниц. Так что шифрование трафика и защита от слежки в интернете — это не вопрос выбора, а вопрос выживания в технологическом обществе будущего, говорят сторонники личной приватности.
СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для предприятий действуют до 30.11.2019 г. по промо-коду AL002HRFR для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.
Gorthauer87
У DoH есть другой неприятный момент. Пока он более менее есть у компаний типа cloudflare и google. То есть включить сейчас это просто потокать централизации в этом вопросе.
Нужно больше альтернативных реализаций.
creker
Каких альтернативных? У овердохрена людей и так в днс прописан 8.8.8.8 или 1.1.1.1. Днс никогда не был и не является децентрализованной технологией по-определению.
Scondo
DNS был и является децентрализованной технологией по определению.
Если говорить о полноценном DNS, а не о кеширующем.
Кэширующий DNS — технология действительно централизованная. Но при этом с возможностью выбора точки централизации.
Gorthauer87
Ну вот то что всего два таких адреса на слуху и не очень хорошо, получается их то владельцы будут собирать всю статистику всех посещений.
dimaaan
Читаем определение на Википедии:
The Domain Name System (DNS) is a hierarchical and decentralized naming system for computers
de1m
Если бы он был децентрализованный, то тогда зачем нужны dns root сервера?
Вы конечно, можете крутить свой сервер и потом друзьям/коллегам/итд. говорить обращайтесь на мой днс, чтобы видеть мою страничку. Но если я тоже хочу посмотреть вашу страничку, то я уже обращаюсь (или мой днс сервер) к рут серверам.
Victor_koly
И будем в организации слать неугодные URL на 169.254.x.y (которые точно нигде в сети не понадобятся).
mxms
Затем, чтобы получить точку входа откуда развёртывать уже весь путь к конкретному домену. И рутовые серверы это никак не централизация. Их свыше 1000 и они управляются независимо.
Вообще, любая децентрализованная сеть не сможет работать без такой точки входа потому что ей, как минимум на первом этапе, требуется механизм discovery.
Tangeman
Тут вы ошибаетесь — управляются и контролируются они (вместе с корневой зоной) ICANN в тесной связке с US DOC. Если США захотят, то почти весь интернет превратится в тыкву за очень короткое время.
По настоящему децентразилованная система должна иметь действительно независимые точки входа, а не контролируемые одной организацией, которая, к тому же, подконтрольна одной стране.
Посмотрите на санкционные проблемы — уже сейчас граждан многих стран отрезали от регистраций доменных имен (не говоря уже о сервисах), просто потому что США так захотелось. Завтра они могут решить что Иран (к примеру) недостоин быть видим из интернета — и так станет, просто .ir исчезнет из корневой зоны, и никто из операторов корневых серверов ничего с этим не сделает.
mxms
Не стоит на техническом ресурсе тиражировать страшилки из арсенала борцов за "высокую духовность и нравственность" сиречь сторонников цензуры, тем более если всё, на самом деле, работает не так.
Да, санкционные проблемы есть. Только для подавляющего большинства граждан они сконцентрированы не там где вам мерещится, а в т.н. "антисанкциях" которые Россия ввела против своих граждан.
Tangeman
Я не вижу где вы увидели страшилки, контроль корневых серверов и содержимого корневой зоны одной организацией под юрисдикцией США — это очевидный (причём технический) факт, который уже не один год много кому не нравится (далеко не только в РФ).
И дело совсем не в том что речь про США — любая страна, которая держит глобальный ресурс под контролем, уже создаёт опасность децентрализации.
Как констатация сего факта может быть из арсенала сторонников цензуры я вообще не понимаю — упомянул я его исключительно для того чтобы подчеркнуть что (к сожалению) DNS в его текущей реализации недостаточно децентрализован.
Насчёт санкций — речь шла не только (и не столько) о РФ, к тому же не только о гражданах, об организациях тоже, у последних проблемы именно там где мне «мерещится» (если смотреть со стороны ЕС).
mxms
Значит я неправильно понял ваш посыл.
То, что ICANN зарегистрировна в США не означает что правительство США ею управляет и, тем более, имеет возможность по техническому ограничению доступности тех или иных доменных зон через корневые DNS.
Критерии "недостаточности децентрализации" не прояснены.
По санкциям в интернет, я не припоминаю ничего подобного упомянутого вами "отключения Ирана" гипотетически имеющими такую возможность США, зато могу привести три вагона примеров ограничений доступа в глобальную сеть по тому или иному поводу внутри стран с авторитарными режимами которые, и стремятся строить свои "суверенные интернеты".
Tangeman
К сожалению, означает — они обязаны соблюдать законы США, и следовать всем санкционным ограничениям США. Корневая зона генерируется и распостраняется Verisign, которые тоже находятся в юрисдискции США.
Всё это конечно регулируется договорами, соглашениями и прочей бюрократией — но в рамках того что позволено законами США и не противоречит им. Все необходимые документы вы можетей найти на сайте ICANN.
«недостаточность децентрализации» заключается как раз в том что если вдруг ICANN или Verisign (по ошибке, требованию правительства, диверсии изнутри или любой другой причине) решит изменить корневую зону — у них это получится, потому что все корневые сервера под их управлением (несмотря на то что их операторы находся в куче других стран).
Я не говорил что США уже «вынимали» Иран, Кубу или другие санкционные страны, но если США решит это сделать (как уже ограничили регистрацию имён и хостинг для ряда стран) — то ICANN ничего с этим не сможет поделать, они будут вынуждены подчиниться.
Подробнее проблема рассматривалась например тут — хоть документ слегка старый, проблемы остались и даже усугубились (так как гайки только закручивают), можете погуглить «icann ofac» для более свежей информации.
dimm_ddr
mxms
Совершенно верно. Правовой нигилизм настолько глубоко засел в сознании соотечественников, что они априори полагают что государство можно сделать с субъектом в его юрисдикции всё, что захочет, не взирая ни на что, включая законы.
Я специально не исследовал правовой статус ICANN, однако, насколько я могу судить, никаких описываемых вам потенциальных проблем с их стороны никогда создано не было.
Возвращаясь к DNS и резюмируя. Рутовые серверы не контролируются США, а DNS является распределённой децентрализованной сетью.
Tangeman
Если бы вы исследовали правовой статус ICANN, вы бы обратили внимание на это (4 пункт):
Так что увы, в данном конкретном случае гос-во действительно вправе делать всё что хочет — если что-то оно не может в данный конкретный момент, то может принять соответствующий закон.
В этом документе вы сможете найти явное упоминание регистрации доменных имён и услуг хостинга в (b)(4) (может быть интересно для вас, dimm_ddr).
Может быть, в следующий раз вы всё же изучите правовой статус, прежде чем говорить о правовом нигилизме?
mxms
Если бы вы исследовали устройство корневых DNS серверов, вы бы увидели что ICANN управляет лишь одним из 13 пулов и имеет те же права, что и все прочие организации, и не пытались бы натягивать
сову на глобусвопросы регулирования регистрации доменов на систему DNS.Может быть, следующий раз вы перестанете путать тёплое с мягким?
Tangeman
Не путайте «управление сервером» и «содержимое корневой зоны». Первое — чисто инфраструктура, второе — в «руках» Verisign.
Откуда, по вашему, корневые сервера берут своё содержимое? Сами собирают с миру по нитке, а потом ещё договариваются чтобы у всех был одинаковый контент?
Да, пока, на данный момент, всё хорошо, но это не меняет того факта что одна организация способна (технически) резко изменить картину мира и внести хаос, пусть и на ограниченное время.
mxms
То, что событие гипотетически возможно, не означает что оно наступит. И даже если оно наступит, то благодаря архитектуре DNS, проблема может быть нейтрализована благодаря наличию независимых акторов.
Ничто не мешает собирать данные NS от координаторов конктретных доменных зон другой организации, а не Verisign. Но, покуда она это делает и делает хорошо, какой в этом смысл? Антиамериканскую паранойю разве что почесать.
Tangeman
Я говорил исключительно о наличии правовых и технических возможностей.
Вы можете считать их гипотетическими, но всего 20 лет назад возможность регулирования Интернет и регистрации доменов по паспортам тоже была всего лишь гипотетической — теперь же это вполне реальность, по крайней мере в некоторых странах.
Да, гипотетически — ничто не мешает. Практически же на данный момент есть одна организация которая у руля, о чём я и говорил.
Ничего антиамериканского в моих высказываниях нет — я просто констатирую факт — и ICANN, и Verisign находятся в юрисдикции США. Будь это Россия, Индия, Китай или даже Монте-Карло — я бы сказал ровно то же самое.
dimm_ddr
Так а примеры то где? Если США могут сделать все что захотят, то почему не делают? Где санкции на Иран, на Северную Корею?
Tangeman
В смысле — не делают? Вы хотите сказать что санкций не существует, и всё это плод воображения?
Ну так посмотрите на список всех санкций и Иранских в частности.
Я уже приводил эту статью в качестве примера когда были реально затронуты интересы регистраторов доменов, в ней есть дополнительные ссылки на соответствующие документы.
Также выше я приводил цитату из аккредитационной аппликации ICANN — из коей явно следует что находящиеся в санкционном списке не смогут её получить (если не получат специальную лицензию).
Какие ещё нужны примеры?
Nulliusinverba
Ну так посмотрите на то, что ICANN не включился в историю с санкциями — Американский суд признал недействительными попытки наложить арест на национальные домены верхнего уровня: Федеральный судья согласен с ICANN
Tangeman
В частном случае с национальными доменами верхнего уровня — здравый смысл победил. Это, впрочем, нисколько не помогает в остальных случаях — регистрация доменов второго уровня, невозможность аккредитации и прочим подобным «мелочам» — проблемы есть и никуда не денутся.
К тому же, это решение нисколько не опровергает изложенные мной выше факты, не исключает того что не будет больше попыток и не гарантирует что «всё будет хорошо» всегда, более того, оно косвенно потдтверждает что существует техническая возможность это сделать — о чём, собственно, я и говорил изначально.
dimm_ddr
Tangeman
Я вроде бы не менее однозначно привёл текст из официального документа ICANN, где они сами чёрным по белому говорят о том что они их обязаны выполнять.
Вроде бы просто его прочитать, разве нет?
dimm_ddr
Что именно в словосочетании «примеры санкций» вам непонятно? Примеры. Санкций. Не размышления, не что-то еще. Я. Просил. Примеры. У вас их нет. Из чего можно сделать вывод что их нет вообще. А значит наблюдаемая реальность расходится с вашими заявлениями. Значит либо ICANN не соблюдает свой же документ, либо вы не понимаете что там написано.
Tangeman
Простите, как я могу привести примеры того что кому-то
было отказано в аккредитации на основании санкций? Попросить их написать на хабр в качестве подтверждения? Я лично знаю парочку таких компаний, которые пытались — увы, безуспешно, поэтому вынуждены были перенести бизнес в ЕС для этой цели.
Если даже я приведу в пример список аккредитованных регистраторов, среди которых нет ни одного из санкционных стран, вы ведь скажете «просто никто этого и не пытался», не так ли?
dimm_ddr
Но при этом в вашем списке есть регистратор из России на которую тоже наложены санкции США.
edit: А вот и еще информация:
Уже про Иран конкретно. Я специально проверил — в 2010 году санкции от США на Иране были и их было много. Ядерная сделка по которой санкции были смягчены произошла в 2016 году. На 6 лет позже того как ICANN одобрил предложение по ccTLD Ирана.
Вы правы что в данном случае только по приведенному списку вам сложно было бы показать наличие санкций. Но в таком случае достаточно от меня примера, который показывает наличие взаимодействия ICANN с Ираном чтобы опровергнуть ваши заявления.
Tangeman
Для разных стран разные «уровни» санкций — просто наличие в списке не говорит о том что всё будет запрещено.
В отношении Ирана, Кубы и ещё нескольких стран ограничения распостраняются на услуги хостинга и регистрации доменных имен, в то время как в отношении России (и других) — нет.
Выше я уже приводил ссылки на соответствующие официальные документы, но, видимо, вы их даже не открывали — там всё чётко прописано.
dimm_ddr
Удобная позиция. Как только вам говорят что вот же — работает компания с санкционными правительствами, так сразу у вас «санкции неправильные». Может быть вы тогда приведете ссылку на документ по которому получается что часть своих функций ICANN может выполнять? Потому что ииначе невозможно что-то привести для доказательства уже мне — вы всегда сможете сказать что конкретно это под санкции не попадает.
Ну а документы — у меня нет никакой уверенности в том, что вы эти документы сами понимаете правильно. Но у меня есть уверенность в том, что ваши заявления противоречат наблюдаемой реальности. Это может быть либо потому что у меня нет необходимых наблюдений, либо потому что ваши заявления неверны. Доказать отсутствие, как вы и сами заметили, возможности особо нет, поэтому пока мне не докажут наличие таких наблюдений я могу с полным основанием считать что неверны именно ваши трактовки документов. И мне даже нет необходимости разбираться где именно они неверны и почему.
Tangeman
Я утверждал что ICANN и Verisign находятся в юрисдикции США и обязаны следовать их законодательству, что продемонстрировал ссылками на соответствующие документы. Я также утверждал что и первые и вторые имеют технические возможности изменить содержимое корневой зоны, единолично.
Какое из этих моих утверждений не соответствует действительности или опровергнуто? Как я уже сказал раньше, решение суда по частному случаю — не показатель, равно как а амнистия отдельных преступников не делает остальных невиновными, и не освобождает никого другого от ответственности в будущем за то же самое деяние.
Я не утверждал что ICANN с кем-то не взаимодействует, равно как я не утверждал что иранский домен был изъят из корневой зоны — речь шла о возможности, не более.
Утверждение из серии «ICANN не соблюдает санкции» (в конкретном случае) — это совсем не то же самое что «ICANN не обязан соблюдать санкции» (ваш посыл). Точно также как если вас не наказали за проезд на красный, или вы проехали на красный по сигналу регулировщика вовсе не означает что теперь на красный ездить можно во всех случаях. Позже может быть другой суд и другое решение — но в любом случае это не изменит того факта что ICANN может изменить корневую зону.
Для опровержения моего заявления должен быть документ в котором сказано что ICANN находится вне какой-либо юрисдикции и не может применять какие-либо санкции к кому-либо — в то время как имеется документ говорящий совершенно противоположное, и в качестве косвенного подтверждения (поскольку прямое невозможно) — отсутствие в списке регистраторов санкционных стран.
Что примечательно, несмотря на всю косвенность, в этом списке нет как раз только тех стран для которых санкции включают услуги хостинга и регистрации доменов (на что вы обратили внимание) — но это всего лишь совпадение, не правда ли?
A1054
Вся эта королевская рать даже мой домашний днс-сервер не контролирует. Вопрос только в полноте данных.
не могли бы вы примеры привести, а то непонятно.
Tangeman
И кто узнает о вашем домашнем сервере без корневых серверов?
Попробуйте зарегистрировать .com/.net (да почти любой gTLD) с адресом владельца в Иране или Кубе. Или попробуйте стать регистратором имён, будучи компанией в Иране или Кубе.
McUrgd
> Попробуйте зарегистрировать .com/.net (да почти любой gTLD) с адресом владельца в Иране или Кубе.
Какой адрес у владельца parsian-bank.com (принадлежит иранскому банку)?
A1054
Все, кому я дам его IP-адрес. Или те, кто получит его по DHCP. Корневые сервера в рекламе моего днс-сервера не участвуют. Извините, но в этом вопросе у вас каша в голове.
Лень пробовать, но судя по тому, что иранские организации с com адресом есть, это возможно. Вам пример привели.
Регистраторы имен в Иране есть. Да вот, например, в вики-статье про зону ir на них ссылка ru.wikipedia.org/wiki/.ir
А можно вопрос. Зачем вы в споре используете заведомо ложные аргументы. Ну, допустим, вы плохо представляете, как работает DNS (хотя и в этом случае лучше трезво оценить, что вы знаете, а что нет, и не писать). Но про регистраторов в Иране инфа гуглится за 30 секунд.
Вам так важно выиграть спор, даже если это будет с помощью фейков?
Tangeman
Безусловно, в работе самого сервера — нет, речь шла не про это, читайте внимательней. Вы не сможете рассказать всему миру IP своего сервера, чтобы они знали как резолвить bla.bla.ru — для этого и нужны корневые и не только сервера.
Я привел выдержки из официальных документов вовлеченных организаций, в которых упомянуты и санкции, и правовые основания — как это может быть фейком?
Пару лет назад многие регистраторы имён из Ирана прекратили свою деятельность именно из-за санкций, и куча доменов перекочевала к другим регистраторам (не в Иране) — эта инфа тоже легко гуглится.
Наличие доменных имен с адресами в Иране объясняется просто — большинство из них было зарегистрировано давно, а санкционные ограничения применяются в основном к новым регистрациям, но до старых тоже иногда добираются.
Что же касается «как работает DNS» — я уже выше описал о чём именно я говорю и что имею в виду, если вы читаете через строчку — увы, не могу вам помочь.
Victor_koly
И совсем сложно будет сказать миру, чтобы они обслуживали зону .rrr и отправляли все запросы резолва этой зоны на Ваш сервер.
Sheti
Текущая ситуация с ICANN не нравится исключительно тем, кто стремится сам выключать неугодных из Интернета. США ни разу не вмешивались в работу корневых DNS. Да и в принципе это не возможно. Нету никакого единого DNS где можно, что то поправить. Корневые DNS расположены по всему миру и попытка в одностороннем порядке отключить какую то корневую зону выльется в бурное обсуждение и не факт, что остальные поддержат. А без всеобщей поддержки это будет фикция.
mxms
Верно. Более того, при первой же попытке одного из акторов сделать нечто подобное остальные быстро начнут действовать независимо, а большая часть интернет выкинет такие корневые серверы из своих списков и на этом всё закончится. Сеть как работала, так и будет работать.
О какой-то централизации DNS можно говорить только в части DNSSEC где, действительно, имеется единый keys signing key на всю сеть.
Tangeman
О централизации можно говорить когда есть один источник данных, и одна сущность которая можеть менять его содержание — а в случае корневой зоны это в данный момент именно так.
Все имеющиеся на данные момент корневые сервера получают данные от одного источника — в этом проблема. Конечно, они могут изменить источник или сделать систему действительно распределенной и независимой от одного источника, но это не так просто и не мгновенно.
Scondo
Не совсем это так — учите матчасть. Там вполне распределённая система.
ru.wikipedia.org/wiki/%D0%9A%D0%BE%D1%80%D0%BD%D0%B5%D0%B2%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B_DNS
Victor_koly
Предположим, что корпоративный клиент берет у провайдера адреса DNS-серверов, скажем прописывает их в виндовый DNS-сервер как «Conditional forwarder». А вот куда потом шлют запросы DNS-сервера провайдера — другой вопрос.
Dukat
github.com/curl/curl/wiki/DNS-over-HTTPS
Tufed
Верно! Поднимаем сервис на своем сервере в нейтральной зоне и прописываем его адрес
Revertis
Пользуйтесь AdGuard DNS :)
whyme
Едиственное отличие от обычных DNS в том, что корневые пока не поддерживают DOH, в остальном все то же самое. Не хватает публичных — можете поднять свой DOH.
mxms
И никогда не будут потому что HTTPS для DNS это чисто браузерный костыль. А вот DoT — вполне вероятно.
polar11beer
Технически, DoT блокируется по номеру порта (853), а DoH неотличим от https-трафика, поэтому с ним такое не сработает.
mxms
Технически ничто не мешает вам использовать DoT по 443 порту что, кстати говоря, многие публичные DNS и делают.
xdimquax
Но, если я правильно понимаю, то это не делает его неотличимым от HTTPS-трафика. Так-то и DNSCrypt использует 443 порт.
mxms
Опять же, технически, если вы можете разбирать содержимое TLS сессии то вам всё равно, что там будет внутри — будет видно всё. А так только статистически пытаться анализировать. Так что "неотличимость" эта, скорее всего, мнимая.
polar11beer
Это верно. Принципиальное различие между DoH и DoT мне видится так:
blind_oracle
Снаружи все TLS сессии выглядят одинаково, потому что это тоннель. Тут нужно сделать скидку на всякие TLS расширения вроде ALPN, но их нетрудно подставить и в DoT чтобы мимикрировать под HTTPS.
A1054
Возможно (я не знаю), они отличаются по паттерну трафика
polar11beer
Не встречал такого, и в RFC тоже. Поделитесь примером?
mxms
RFС вам не запрещает использовать любой порт, в точности как и для любого другого протокола. Рекомендован и стандартизирован 853.
Ну вот, например, один из списков
https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Test+Servers#DNSPrivacyTestServers-DoTservers
xdimquax
Это не DoH надо винить, а тех, кто принимает решение использовать этих провайдеров по умолчанию.
dartraiden
А что использовать по умолчанию? Выводить пользователям, которые в этом ничего не понимают, требование купить VPS и поднять там резолвер?
По умолчанию как раз используется стабильный и надёжный сервис, задача которого не упасть, иначе у пользователя «ничего не работает, к чёрту вашу тормозиллу, качаю Хром» (а в Хроме-то всё стабильно работает, там будет по умолчанию сервер Google). При этом, для малой доли пользователей, который хотят таки поднять и использовать свой сервер, реализована возможность это сделать.
И вот, значит, нашли стабильный сервис. Подписали с ним юридические бумаги о том, что сервис обязуется собирать как можно меньше информации о пользователях (совсем-то не собирать технически невозможно, сервер не может обслуживать клиента, не зная, например, его IP-адрес), будут проводить периодический аудит. Но нет, всё равно плохо, нужно было сделать как-то иначе, а как — «мы не знаем, нужна децентрализация, чтобы было много-много провайдеров» (что скажется и на стабильности, и на приватности, потому что провести качественный аудит одного партнёра проще, чем сотни).
При этом, перед Mozilla всё ещё стоит задача поднимать популярность браузера, а для этого нужна надёжность, потому что работу DoH пользователи даже не видят, а вот если сайты в Firefox перестали открываться из-за прилёгшего резолвера, то пользователи в первую очередь винят именно браузер, а не резолвер, и идут качать какой-нибудь Yandex.Browser или Chrome.
xdimquax
То, что хоть немного уважает приватность пользователей, иначе какой смысл во включении DoH по умолчанию? Сейчас уже есть из чего выбрать.
dartraiden
Во-первых, Cloudflare обязалась (и не просто «мамой клянусь») уважать приватность (хотя бы в отношении пользователей DoH Mozilla). Во-вторых, важна и географическая доступность, которая у Cloudflare отличная. Если DNS-запросы российского пользователя гнать через, скажем, США, то пусть оно будет сколь угодно приватным, но задержки-то конские.
xdimquax
И почему-то мы должны верить этому. Они бы еще более сомнительного партнера себе нашли, и договорились с ним.
Они не только выбрали централизованный подход, но и сервер компании, которая и так контролирует огромную часть Интернета.
Не факт, что негативно скажется, но потребовалось бы, конечно, договориться со многими, в разных странах. А аудит от Mozilla нужен только им, потому что пользователь все равно вынужден доверять провайдеру.
dartraiden
xdimquax
Но это не означает, что доверяем безоговорочно и не хотим приуменьшить степень своей зависимости от неё (и других корпораций). Кроме того, сомнительно, что они вообще способны что-то гарантировать в этом случае. Сегодня они провели свои проверки, а завтра Cloudflare может начать пакостить втихую, т.е. необходимости доверия к провайдеру это полностью не отменяет.
icetinte
«Как-то утром я проснулся и меня чуть не стошнило, когда я узнал, какие уроды пользуются нашей платформой. Я дернул рубильник — и они пропали из интернета. Но я не уверен, что такая власть должна быть в руках одного человека, особенно не обладающего никакой политической легитимностью».
CEO Cloudflare Мэтью Принс
www.bloomberg.com/news/videos/2017-08-17/cloudflare-ceo-on-responsibility-in-combating-hate-video
Да, это про не очень хороший сайт, да этот сайт вроде жив пока, но само событие меня пугает
xdimquax
Он же:
c_kotik
А вы рисковые ребята)
tvr
«Осёдлый бандит» же, вполне академично.
berrics
Не «уровня» же.
Griboks
Этой проблеме уже лет 30. Всё это время, когда спрашивали:" Что важнее? Безопасность или приватность?," всегда отвечали: «Безопасность.» Но вот именно с появлением DoH всё обязательно должно почему-то поменяться. На самом деле, это выбор каждого человека. Просто люди не готовы отказаться от всех этих удобных облачных сервисов в обмен на приватность. Поэтому, придумают всякие там сормы для DoH и введут его, а люди будут думать, что всё хорошо, как и всегда.
ne_kotin
Чо там, пиннинг сертификатов уже обошли и RSA научились взламывать? DoH и DoT и задумывались для того, чтобы СОРМы обламывались.
Griboks
Телега тоже, а потом участников секретного чата начали сажать…
ne_kotin
В «секретном чате» больше двух участников быть не может. А если вы про «сИкретные» облачные группенчаты — так при чем тут телега, если участники на опсек кладут и добавляют кого попало?
dartraiden
Чо там, пиннинг сертификатов в DoH кто-то из популярных софтов юзает? Упс, нет, не юзает. Мало кто юзает. Ну и всё — заворачиваем с подменой сертификата этот DoH на себя и блокируем запрос eSNI.
А когда включат пиннинг сертификатов повсеместно и DoH наберёт популярность, просто тупо баним Cloudflare в России. Сопуствующий ущерб Роскомнадзор не волнует, Amazon вам это подтвердит.
ne_kotin
А что, в мозилле имплементировали без оного? В гугле тоже? При том, что так то они уже давно цепочки проверяют и пинят CA.
Ну, там, когда Amazon побанили — много всего отвалилось. Есть мнение, что с Cloudflare примерно так же будет. Амазону конечно же ни холодно, ни жарко — он свои деньги получил.
xdimquax
Если не хуже.
A1054
От пиннига хром отказался, вроде пару лет назад.
Barma2012
Мне кажется, вопросы безопасности и им подобные, можно свести к одному — «что важнее, колбаса или свобода?»
Для большинства людей важнее «колбаса» — вероятно по той причине, что они не очень понимают, что делать со свободой, или что она вообще такое…
xdimquax
Для многих такой выбор вообще не стоит, потому что не все осознают, что есть выбор, и что они жертвуют свободой вследствие своего выбора.
xdimquax
Иначе говоря, большинство людей отказывается от приватности не в угоду безопасности, а просто из-за удобства.
pewpew
Удобно давить на общественное мнение, прикрываясь защитой детей.
ne_kotin
При том, что интернет — он не для детей вообще.
tvr
Эта музыка будет вечной.
Eldhenn
— Граждане! — сказал Остап, открывая заседание. — Жизнь диктует свои законы, свои жестокие законы. Я не стану говорить вам о цели нашего собрания — она вам известна. Цель святая. Отовсюду мы слышим стоны. Со всех концов нашей обширной страны взывают о помощи. Мы должны протянуть руку помощи, и мы ее протянем. Одни из вас служат и едят хлеб с маслом, другие занимаются отхожим промыслом и едят бутерброды с икрой. И те и другие спят в своих постелях и укрываются теплыми одеялами. Одни лишь маленькие дети, беспризорные, находятся без призора. Эти цветы улицы, или, как выражаются пролетарии умственного труда, цветы на асфальте, заслуживают лучшей участи. Мы, господа присяжные заседатели, должны им помочь. И мы, господа присяжные заседатели, им поможем.
ScreamPassion
А что самое печальное, так это то, что вместо того, чтобы решать вопросы о том, как оградить детей которых принудительно заставляют создавать такой контент, принимается решение этот контент просто никому не показывать(блокируя его).
dimm_ddr
Ну вообще в этом есть логика — без потребителя такого контента будет на несколько порядков меньше и производителя не всегда реально достать, он может просто физически находится в стране с которой нет договора об экстрадиции или где государство не имеет какой-то реальной власти. Конечно с производителями тоже нужно бороться, один путь не должен исключать второй, но логика в блокировках таких ресурсов есть и она вполне адекватна.
Если что — я не защищаю блокировки вообще, я только говорю что они не являются просто созданием видимости деятельности, у них есть нормальное обоснование. Теоретически есть. На практике было бы неплохо какими-то цифрами доказывать обоснованность.
ScreamPassion
Я знал что рано или поздно подобное мнение появится, но тем не менее соглашусь только частично.
Во первых, ловить опять же — надо тех кто этот контент покупает, а не блокировать все подряд.
Во вторых мне кажется что данная категория потребителей, это сильно нездоровые люди, и при отсутствии такого контента, или идентификации их(с целью предупреждения и/или оказания им медицинской и/или психологической помощи) через этот контент, они к сожалению (сейчас говорю
как психолог по образованию) 9 из 10, начнут компенсировать свои потребности, создавая массу проблем обществу.
Ну и в третьих — как уже было сказано выше (и я с этим мнением полностью согласен), интернет — место не для детей, а тот интернет, который нужен детям а точнее его качество и безопасность, на уровне государства к сожалению, а может и к счастью создать не получится никогда, как минимум потому что у каждого родителя разное представление о воспитании да и возраст детей разный и масса других нюансов, по этому контроль должны осуществлять родители.
riartem
Я не очень понял, как DoH мешает блокировать сайты.
Выключил VPN, включил эту фичу, захожу на заблокированный сайт, вижу – "сайт заблокирован".
Или это в Беларуси настолько суровые блокировки?
Revertis
Всё объяснено в статье. Перечитайте ещё разок.
riartem
Перечитал, там по прежнему утверждается, что технология мешает блокировать сайты.
Я её попытался использовать в Беларуси, но не заметил помех блокировкам. Поэтому и решил уточнить — я что-то включил не так или тут умеют блокировать нежелательные сайты лучше, чем в Британии?
whyme
Ваша же цитата
просто ваш фильтр не основан на перехвате DNS запросов. Если, конечно, все правильно настроили. Зайдите на какой нибудь dnsleaktest.com и пройдите тест, в случае DOH у вас должны быть сервера Cloudflare (или какие вы там насторили в firefox), при этом ДНС системы лучше выставить другие, к примеру 8.8.8.8, чтобы можно было заметить разницу.
Aldrog
Включен network.security.esni.enabled и network.trr.mode=2. Почти все заблокированные сайты работают без прокси и впн. Но это в России.
sw0rl0k
А у меня сначала работало, а потом перестало. При этом сайты, поддерживающие ESNI стали редиректиться на заглушку блокировки даже учитывая https. Сайты, не поддерживающие ESNI по-прежнему просто не резолвятся.
xdimquax
Вообще все сайты, или только заблокированные в РФ?
Обычно https-сайты и редиретят на заглушку, не все банят по IP.
sw0rl0k
Только заблокированные, конечно.
Странно, у меня https-сайты без поддержки ESNI, например один-известный-трекер.org просто не открывается и выдает ошибку при установлении защищённого соединения. При этом сайты с поддержкой ESNI, например один-известный-трекер.nl редиректятся на провайдерскую заглушку о том, что данный сайт заблокирован на территории РФ.
JustDont
Это так не работает. Если у вас и вправду всё нормально настроено, резолвиться они будут.
Если забанен IP сайта — то там уже глубоко пофиг, https или не https.
sw0rl0k
Возможно, использовал неправильную терминологию. В общем, для сайтов по https, но без ESNI блокировка выглядит так:
JustDont
Это бан по IP, где провайдер просто режет соединение, не заморачиваясь вопросами, что там у вас и какой протокол. Очевидно, что DNS тут у вас как раз таки давно уже отрезолвлен.
Revertis
Ну вот же:
Не хотели делать DPI, договорились на блокировку только по DNS. А тут такая подстава.riartem
Я понял, большое всем спасибо за разъяснения
xdimquax
Подставка — это договариваться о блокировка, когда никто не просил этого делать.
domix32
Если совсем упрощенно — можно банить по айпи и по домену. DoH не дает определить к какому домену вы пытаетесь подрубаться и соотвественно второй способ превращается в тыкву.
dartraiden
DoH мешает только, если вы используете DNS-сервер провайдера (либо провайдер перехватывает DNS-запросы и заворачивает их на себя) и провайдер использует выдачу фальшивых ответов DNS как основной способ блокировки. В России например, почти ни один провайдер не полагается на это, как на единственный способ блокировок. Т.е. провайдеры применяют сразу несколько способов. Поэтому, сам по себе DoH не мешает блокировать.
Для того, чтобы заметить хоть какой-то эффект, нужно включить ещё и поддержку eSNI.
Дальше, вероятно, возникнет вопрос «как eSNI мешает блокировать сайты?».
Представьте, что на IP-адресе 1.2.3.4 висят doloilukashenko.com (доступ к которому провайдер обязан блокировать) и kotiki.org (претензий к нему у Батьки нет). Для провайдера ваш заход на любой из этих сайтов выглядит как соединение с 1.2.3.4. Если используется незашифрованный HTTP, то провайдер посмотрит в заголовок HOST и поймёт, идёте вы на doloilukashenko.com или же на kotiki.org. И дропнет соединение с первым.
С HTTPS сложнее. Чтобы продолжать иметь возможность заглядывать в заголовки, провайдеру нужно купить и установить оборудование DPI, которое может прочитать поле SNI в заголовке (в HTTPS оно не зашифровано). Вот тут и помогает eSNI — провайдер не может прочитать SNI (заголовок зашифрован) и пропускает запрос, а вы получаете возможность зайти на doloilukashenko.com.
При этом, мелкие провайдеры себе такое позволить не могут. Но блокировать нужно, иначе государство сделает атятя. В таком случае провайдер рубит весь HTTPS-трафик до 1.2.3.4, а вы не зайдёте ни на doloilukashenko.com, ни на kotiki.org. И даже eSNI вам в этой ситуации не поможет. Тут вам поможет разве что VPN.
Есть вполне обоснованные опасения, что с повсеместным внедрением DoH и eSNI все провайдеры просто откатятся на последний способ.
xdimquax
Не понимаю, чего все опасаются, если для обхода блокировок большинство и использует VPN и т.п.
JustDont
Не откатятся, так как это в некотором пределе эквивалентно бану всех облачных провайдеров, а в более длительном пределе — бану вообще всех IPv4 и даже v6. Исключая служебные адреса, но как мы знаем, РКН и это не останавливает. И белый список.
xdimquax
А какие у них еще есть варианты?
JustDont
Китайский сценарий, очевидно. Весь национальный сектор интернета тщательно огораживается, точки взаимодействия с внешним миром минимизируются и контролируются всеми возможными способами; гражданам страны в добровольно-принудительном порядке выдаются свои проверенные сервисы, а всяким гуглам и прочим ютубам показываем большой красный рубильник.
Денег правда не хватит.
А если говорить про что-то реальное — то или таки будут бегать с банами по IP некоторое время, пока крупные игроки не взвоют, или просто ограничатся какой-либо формой имитации бурной деятельности. В конце концов, у них цель — не интернет забанить, а сидеть и получать весомую зарплату как можно более длительный срок.
xdimquax
Что-то мне не кажется это более реалистичным вариантом. :-) Во всяком случае, до тех пор, пока целью не будет блокировка всего ''вражеского'' интернета.
Sheti
Китайский сценарий возможен только там где изначально ничего кроме китайского не было. В современном мире который вырос в открытом интернете попытки блокировать облачных провайдеров это мощный выстрел себе в обе ноги сразу. Трудно предсказать последствия таких действий. Чего уж говорить если промышленные станки требуют связи с интернетом. Не говоря о куче так называемых IoT.
Victor_koly
Главное — чтобы станки не скачивали обновы и не выводили сообщение «Через 15 минут будет ресет».
Alex023
Потому что блокировать нужно не адреса, а самих людей разрушающих основы общественного устройства. От предупреждения до бана на 3 года для физлица. Суть бана — превратить для таких Web 2.0/3.0 в 1.0 и все замечательно. Смотреть можешь. Публиковать что либо нет. Read-only интернет.
P.S. Чем минусовать, выразите своё мнение. Может ваше видение окажется еще более правильным.
То что написал, не моё изобретение чтобы меня минусовать. Читайте устав сети FIDO. Вспоминайте те правила.
A114n
Значит хорошие сапоги, надо брать ©
atbuhw
Меня ещё напрягает то, что Mozilla собирается устанавливать настройки по умолчанию в конкретной стране. (Заметим, даже не при выборе конкретного языка, по-английски говорят много где, а именно в конкретной стране.) Как они это будут делать? Определять геолокацию при скачивании пакета? Мне кажется, это достаточно опасный прецендент, как минимум в десктопном мире. А если впоследствии они или кто-то ещё будут раздавать разные версии уже не настроек, а самой программы, и не в зависимости от государства скачивания, а по каким-то ещё критериям?
Это сильно подрывает безопасность open source: большинство пользователей не читает исходники самостоятельно и не компилирует программы самостоятельно, но (было) достаточно вероятно, что те, кто прочитал исходники, получают те же исходники, что и все остальные, и эти исходники компилируются в те же бинарники, что и (каждый) пользователь может скачать напрямую с сайта.
Barbaresk
Ну как бы так уже много лет. При скачивании мозиллы в России ставится яндекс поиск по умолчанию, а потом еще и толком не удаляется. И много кто так делает.
dartraiden
Я, находясь в России, скачиваю en-US установщик (у меня весь софт на английском) и никакого Яндекса там нет.
atbuhw
Да, это зависит от языка браузера (и его можно выбрать при скачивании), а не от страны скачивания. Хотя это тоже неприятно, конечно. Но если выбрать английский язык при скачивании, яндекса по умолчанию не будет.
NetBUG
Не английский, а en-US.
en-UK, как мы видим, неоптимален (хотя это было видно ещё по раскладкам клавиатуры на Raspberry Pi)
dartraiden
Если у вас en-US система и браузер, по идее, вы тоже получите включённый DoH.
Kellis
А разве тот адрес, что указан по умолчанию в ФФ, не забанен в РФ?
vassabi
это еще что — из Австралии им там еще не писали, чтобы встраивать бекдоры по запросу?
Homas
На самом деле поддержка DoH в Mozilla не имеет ничего общего с privacy. Это просто способ перенаправить трафик в CloudFlare и монетизировать его. Будет работать только для тех пользователей, которые не разбираются в теме.
1. The canary domain — хорошо известен. Блокируется без проблем. 100% будет заблокирован у больших провайдеров, которым тоже нужны эти данные с DNS (для маркетинга и предоставления услуг фильтрации трафика). В этом случае FF просто будет даунгредится до обычного DNS. + есть проверки на наличие корпоративных политик.
2. В данный момент механизм проверки DoH реализован через plugin и изначально будет развертываться только в США. Plugin доступен на github.
3. Если прописать свои настройки DoH, то FF будет их использовать.
4. Если Вам нужна приватность — используйте VPN и/или Tor возможно с комбинацией DoH/DoT (если, конечно, вы доверяете их провайдерам). Просто DoH/DoT не могут этого обеспечить.
Suntechnic
Вредит общественной безопасности Палата Общин.
Она целиком состоит из придурков которых надо вешать на столбах. Понапринимают дебильных законов, а народ Великобритании страдает от этого.
Как говорится у Великобритании две беды — и если одну можно решить с помощью асфальтоукладочных катков, то что делать с дорогами, совершенно не понятно.
Meklon
Так толсто, что аж тонко)
Suntechnic
К сожалению последние изменения в законодательстве Великобритании, не дают возможности выражаться иначе — только прямо рубить правду матку с плеча, можно сейчас на просторах некогда великой, но умирающей империи.
JPEGEC
Hivemaster
Как на счёт того, чтобы бороться с причинами, а не следствием — пресекать само насилие над детьми, а не распространение видео об этом?
Zanak
Все чаще получаю сообщение "ошибка установки защищенного соединения", особенно когда пытаюсь искать книги на разного рода файлопомойках. Подозреваю, что кроме пиара самой Mozilla эта история ни кому и ни чего больше не принесет.