Иллюстрация из статьи zhovner «Google Public DNS тихо включил поддержку DNS over TLS»
Mozilla и Google продолжают продвигать протокол шифрования DoH. Его уже внедрили в ранние альфы Firefox и Chrome. Шифрование DNS-запросов поддерживают Google Public DNS, Cloudflare DNS и другие резолверы.
Шифрование DNS-трафика с невозможностью слежки «человеком в середине», составлять и продавать профили пользователей — сильный удар по интернет-провайдерам, которые занимаются всем перечисленным. В отдельных странах это не понравится правоохранительным органам, которые затрудняют гражданам доступ к определённым ресурсам в интернете (например, в России заблокированы «Луркоморье», «Рутрекер» и 289 955 других ресурсов). Протокол DoH практически сводит на нет усилия властей.
Своё недовольство уже высказали провайдеры Великобритании, которые назвали Mozilla «главным злодеем интернета» якобы за подрыв системы блокировки сайтов с детской порнографией. На этой неделе стало известно о закулисной борьбе в коридорах законодательной власти США, где компании могут лоббировать свои интересы и легально «подкупать» депутатов.
В распоряжение издания Vice попала презентация Comcast с аргументами против планов Google и Mozilla по развёртыванию системы DNS.
В презентации говорится, что IETF в прошлом году принял стандарты шифрования трафика DNS под названием DNS over HTTPS (DoH) для браузеров и DNS over TLS (DoT) для мобильных ОС.
Comcast утверждает, что по стандарту модель DNS должна оставаться распределённой, в то время как Google (с примкнувшей к ней Mozilla) «в одностороннем порядке» объявили о внедрении DoH в своих браузерах. Если это будет сделано, то маршрутом по умолчанию для DNS-трафика станет сервис Google Public DNS.
Comcast утверждает, что новый тип шифрования централизует власть Google. Компания получит в своё распоряжение большую часть глобальных данных DNS, а это представляет собой «фундаментальный сдвиг» для децентрализованной природы интернета. Такая централизация «поднимает серьёзные вопросы информационной безопасности, приватности, монополизации, национальной безопасности и охраны правопорядка, сетевой производительности и качества сервиса (включая 5G), а также в других областях».
Comcast представляет ситуацию так, словно Google пытается узурпировать DNS-трафик и замкнуть на себя децентрализованную систему DNS-резолверов. Со своей стороны, Comcast якобы выступает на стороне добра и за свободу интернета, упрекая Google в корыстных интересах. Провайдер подчёркивает монополию Google на рынке браузеров и мобильных ОС. «Почему Google так спешит?» — вопрос на одном из слайдов.
Comcast призывает защитить интернет от монопольных планов Google. Конгресс должен остановить развёртывание DoH и заставить Google ответить на ряд ключевых вопросов по поводу узурпации DNS-трафика, угрозы национальной безопасности, ухудшению работы интернет-сервисов и так далее.
Google и Mozilla категорически не согласны с аргументами Comcast: «Презентация в целом неточна и вводит в заблуждение. Честно говоря, я бы постеснялся показывать политикам такие слайды, — сказал директор по безопасности в Mozilla Маршалл Эрвин (Marshall Erwin). — Мы пытаемся существенно сдвинуть полномочия по сбору и монетизации данных людей от интернет-провайдеров и предоставить пользователям контроль и набор средств защиты по умолчанию».
Google ответила, что настройки DNS в Chrome будут опцией, которую пользователи могут изменить в любое время.
Фонд электронных рубежей (EFF) опубликовал открытое письмо к Конгрессу не поддаваться на пропаганду Comcast и поддержать внедрение протокола DoH для лучшей защиты интернета: «Одним из важных моментов, которые следует подчеркнуть, является то, что Google публично не объявляла план переопределить установленный пользователем DNS-резолвер в рамках реализации DoH, — говорит Макс Хантер, директор по разработке в EFF. — Если бы Google действительно менял настроенный на ОС резолвер своим собственным, то нас бы очень обеспокоил потенциал наблюдения и цензуры, который принесёт централизация DNS».
«Google не планирует централизовать или изменять DNS-провайдера по умолчанию на Google Public DNS. Любое утверждение, что мы пытаемся стать централизованным DNS-провайдером шифрования, является неточным, — сказал представитель Google. — Наше предложение для DoH обеспечивает безопасные соединения и не изменяет DNS пользователя, поэтому все существующие фильтры и элементы управления остаются неизменными», — добавил он.
«Единственная правда в этой лоббистской активности ISP заключается в том, что DoH действительно представляет собой фундаментальный сдвиг в том, как работает сеть. И это сделано намеренно с нашей стороны, — говорит Маршалл Эрвин из Mozilla. — Эта презентация Comcast представляет собой часть довольно агрессивной кампании интернет-провайдеров, чтобы сохранить контроль над трафиком DNS и возможностями отслеживания, которые он им предоставляет».
Издание Vice напоминает, что в 2017 году интернет-провайдеры лоббировали Конгресс разрешить продажу профилей абонентов с историей сёрфинга без уведомления пользователей.
«Конгресс должен поддержать системное принятие DoH, чтобы закрыть один из самых больших пробелов в приватности, оставшихся в интернете, одновременно продвигая дело свободы интернета во многих частях мира, остро нуждающихся в нём», — сказано в письме EFF.
СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для предприятий действуют до 30.11.2019 г. по промо-коду AL002HRFR для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.
Комментарии (75)
ReklatsMasters
29.10.2019 15:22+1Comcast на самом деле права. Замыкание всего dns трафика на Гугле и cloudflare, это путь к ещё большей монополизации. И потере приватности. Неужели кто то верит, что Гугл и КФ откажутся от возможности монетизировать такой поток данных?
Вот и получается, с одной стороны классический DNS, который не гарантирует целостность данных, с другой шифрованный dns, который делает вас товаром.
Wexter
29.10.2019 17:02Вы в любом из вариантов являетесь товаром, вам остаётся лишь выбрать кто будет продавать
Knightt
29.10.2019 17:03Лучше отдать свои данные гуглу и иметь доступ ко всем ресурсам, чем отдавать свои данные ВСЕМ провайдерам на пути к ДНС серверу и получать «запрещен доступ к сайту по решению(обычно в рамках какого-нить лобби) кого-то там» или вообще фейк-сайт от «доблестных защитников интернета»
proninyaroslav
29.10.2019 23:08+1Ни то, ни это не вариант. Что гугл может устроить подлость, что провайдер, на равных. Просто они решили потягаться за лакомый кусок.
IGR2014
30.10.2019 14:51Ну и пусть тягаются. Если и продаваться себя, то гугл вызывает больше доверия.
ReklatsMasters
30.10.2019 00:16+4Зато как весело будет вам, когда Гугл вас забанит за какую нибудь оплошность. А ведь он банит не только основной акк, но и все связанные. Захотите написать в поддержку, а там одни роботы. Про все свои документы, таблицы, пароли, контакты, почту, про всё можете забыть. Так и получается, что данные то свои вы гуглу отдаёте, а взамен получаете абсолютно скотское отношение.
Knightt
30.10.2019 11:18Гугл получит от меня список всех посещаемых мною сайтов… при чем тут таблицы, пароли и т.п.?
И гуглу плевать, что роскомнадзор запретил сайт телеграмма, потому что Дуров отказался отдать ключи шифрования нашим доблестным ФСБ. И гуглу плевать, на посещение сайтов, где «не очень лестно пишут о нашей власти», а вот местные провайдеры могут и «стукануть», и вот у тебя на пороге стоят местные «сотрудники» (а не гугловские) по причине того, что ты за того проголосовал, не туда посмотрел.
ZetaTetra
30.10.2019 09:53+1Там скорее борьба за сетевой нейтралитет, который провайдеры давно пытаются сломить.
Ибо если провайдеры его продавят, то гуглу будет тяжко…
В итоге, DoH как раз и обеспечивает устранение монополии провайдера на владение всего траффика пользователя.
А с цензурой в РФ он особо не поможет, ибо по доменам мало кто из провайдеров режет запрещённое для русских.
ivan386
30.10.2019 10:52А с цензурой в РФ он особо не поможет, ибо по доменам мало кто из провайдеров режет запрещённое для русских.
Откуда такая статистика?
Aingis
30.10.2019 12:02Это не статистика, а практика. РКН поставил всем провайдерам «Ревизор», который делает запросы на ресурсы, и в случае доступности выписывает штраф. Ресурсы должны блокироваться по IP, отвалом домена проверку не обманешь. Так делали только по первое время, когда закон только появился.
ivan386
30.10.2019 12:22Есть одна старая статейка со статистикой:
DPI_IP — блокирование с использованием DPI, который проверяет блокируемый URL только на определенных IP и 80 порту.
DPI_FULL — блокирование с использованием DPI на всех IP и всех портах.
IP — блокирование по IP-адресу.
DNS_SPOOF — подделка A-записи от DNS-сервера.
DNS_REDIRECT — перенаправление DNS-запросов от не-провайдерских DNS-серверов на провайдерский.
DNS_BLOCK — блокирование не-провайдерских DNS-серверов.ValdikSS, есть статистика по новее?
ZetaTetra
30.10.2019 14:28Статистика явно изменилась, в последнее время даже самые упёртные провайдеры внедрили более агрессивные методы блокировок.
ZetaTetra
30.10.2019 14:25Мой личный опыт обхода блокировок разных провайдеров.
Поэтому и без пруфов.
Думаю, если нужны пруфы, то лучше у ValdikSS спрашивать.
Может Эшер ещё подскажет, но первый в этом деле более авторитетный.
KonstantinSpb
29.10.2019 15:35Никто не запрещает поставить свой DNS на каком-нить VPS
mxms
29.10.2019 16:01Пока не запрещает.
mxms
29.10.2019 18:54А нет, уже запрещает.
Google не планирует предоставлять пользователям возможность выбора сервера DoH в браузере Chrome.
https://blog.chromium.org/2019/10/addressing-some-misconceptions-about.html
Добро пожаловать в уютненькое гетто.
Tangeman
29.10.2019 19:28-1То есть как это? Там же английским по белому написано:
Because we believe in user choice and user control, we have no plans to force users to change their DNS provider.
и чуть дальше:
We’re simply enabling support in Chrome for secure DoH connections if a user’s DNS provider of choice offers it.
mxms
29.10.2019 19:31Перевожу с политкорректного на реальный.
- Выбора у пользователей нет.
- DoH будет применяться если в прописанных текущих настройках DNS сервис его поддерживает.
- Если сервис из п.2 включён в "белый список" Google.
Если походить по связанным ссылкам из этой статьи можно даже найти e-mail, куда, если вы большой и вас любит Google, можно писать запросы на включение в этот список.
http://lists.encrypted-dns.org/scripts/wa-ENCDNS.exe?A2=ENCRYPTED-DNS;f98e120c.1910&S=Tangeman
29.10.2019 19:56+1Простите, но это конспирология. Вы можете «переводить» как вам хочется, но текст явно говорит что лишать выбора никто не собирается, не говоря уже о том что никто не заставляет использовать ни Хром, ни DoH, ни вообще Гугль.
mxms
29.10.2019 19:58-1Текст явно говорит, что выбрать пользователь может только в рамках предоставляемого Google выбора.
Но вы, вероятно, можете, здесь и сейчас, развеять всю эту "конспирологию" продемонстрировав как подключить ваш собственный DoH сервер в Chrome, как это, к примеру, можно сделать в Firefox.
Ведь можете, правда?
creker
29.10.2019 21:56+2Текст явно говорит, что выбрать пользователь может только в рамках предоставляемого Google выбора.
Текст этого не говорит. Учите английский.
Fenzales
29.10.2019 22:25Вообще ничего подрбного в тексте нет.
We’re simply enabling support in Chrome for secure DoH connections if a user’s DNS provider of choice offers it. Chrome will check if the user’s DNS provider is among a list of participating DoH-compatible providers and if so, it will enable DoH. If the DNS provider is not on the list, Chrome won’t enable DoH and will continue to operate as it does today
Если выбранный пользователем DNS-провайдер работает с DoH, то он будет с ним работать, если нет, то будет работать без него.For the experiment, we’ve intentionally kept the list small but reasonably diverse.
Here are the providers that we have selected in alphabetical order:
- Cleanbrowsing
- DNS.SB
- OpenDNS
- Quad9
mxms
29.10.2019 22:36+1Вы в точности подтвердили мой пост из трёх пунктов.
Свой DoH сервер подключить нельзя = выбора у пользователя нет.
Если вы утверждаете противоположное, милости прошу продемонстрировать эту возможность для Google Chrome, как я и просил чуть выше.creker
29.10.2019 23:03Вы бы дизайн документ почитали, если вам так беспокойно docs.google.com/document/d/15Ss0OaJeb-T3g2RMwgikHvsC0CPKd-MLeGeetv1wYY4/edit#heading=h.7xl44gtucf0p
Кастомные сервера задаются через шаблоны DoH templates. Сейчас идет речь об эксперименте для небольшого числа пользователей. Если почитать документ, то станет ясно, что задача далеко не тривиальная и не решается «просто включить DoH». Тот список серверов это всего лишь автоматический юзер френдли режим (automatic), когда днс сервер в системе сверяется со списком и происходит автоматическое включение DoH, если он такое поддерживает. Стоит у вас 1.1.1.1 в системе — хром сам переключится на DoH. Когда эксперимент окажется успешно, они начнут выносить это на UI вместе с той самой опцией шаблонов, чтобы хром выбирал из пользовательского набора DoH серверов.
А добавиться в список можно здесь www.chromium.org/developers/dns-over-https Ничего искать и ходить долго по ссылкам не надо для этого.mxms
29.10.2019 23:08+1Ещё раз. По буквам.
Свой DoH сервер включить в Chrome нельзя. Можно только предодобренный Google.
А добавиться в список можно здесь
Добавите свой (если нет, ок — мой, который уже несколько месяцев успешно работает с Firefox) DoH туда? Сомнительно...
creker
29.10.2019 23:13Еще раз. Учите английский и читайте дизайн документ, где все написано, как добавить свой сервер. Хватит бредить и дезинформацию распространять.
Добавите свой (если нет, ок — мой, который уже несколько месяцев успешно работает с Firefox) DoH туда? Сомнительно...
Сомнительна идея пытаться добавить туда свой личный сервер. Вашим сервером пользуется полмира? Нет, а значит и быть в списке ему незачем, по определению. Задача этого списка сделать прозрачным включение DoH для большинства пользователей без необходимости что либо настраивать. Это требует иметь курируемый список адресов. Хотите свой добавить — милости просим в DoH templatesmxms
29.10.2019 23:16Ну, то есть, не только ваш английский, но и, как выяснилось, русский, какой-то совсем другой. Настолько другой, что простого экспериментального доказательства вашей правоты (и, следовательно, моего заблуждения) не будет.
Ок. Капитуляция принята.creker
29.10.2019 23:19Это да, спорить с вами я не собираюсь. Дизайн документ все сам за себя говорит — выбор есть, свой сервер хром вписать дает. Дальше можете выдумывать что угодно. Жалко только, что кто-то вам поверить может и побежит дальше бред распространяться, что злобный гугл выбора юзеру не дает. Дизайн документ не каждый осилит. Вы вот даже открыть его не удосужились.
mxms
29.10.2019 23:26Этот "дизайн документ" вы, судя во всему, впервые увидели в предоставленных мною ссылках.
Ещё раз, прошу продемонстрировать каким образом в Google Chrome прописать свой собственный DoH сервер (не из предодобренного списка) так, чтобы он работал.
В противном случае вы — лжец.
Ответа, впрочем, не жду...
Tangeman
29.10.2019 23:19Текст явно говорит как раз обратное — я же процитировал выше и даже выделил. Или вы как-то иначе переводите «we have no plans to force users to change their DNS provider» и «user’s DNS provider of choice»?
Выше вы сказали:
А нет, уже запрещает.
Будьте так любезны, процитируйте релевантный фрагмент где вы увидели «запрещает».
Что касается «белого списка» — там же явно написано, что это в рамках эксперимента, и я даже могу понять почему список существует и ограничен — чтобы пользователь случайно не выстрелил себе в ногу, поставив там провайдера который не поддерживает DoH, со всеми вытекающими.
Рассматривать невозможность вносить свой сервер на этапе эксперимента, пока всё отлаживается, как «запрет» — это несколько притягивать за уши.
Если выйдет версия Хрома с «релизом» DoH (т.е. после окончания эксперимента), где будет жёстко ограничен «белый список» и где не будет возможности ставить свои сервера — вот тогда можно будет говорить о «запрете», хотя даже в этом случае Хром не будет единственным браузером.
Я понимаю ваше беспокойство и неверие в добрые начинания Гугля, но всё же давайте будем последовательны — на данный момент ни о каких запретах или принуждениях речи нет, и декларируются вполне адекватные намерения.mxms
29.10.2019 23:33«user’s DNS provider of choice»
Конечно. Только DoH работать не будет, даже если он поддерживается но не одобрен Google. Как это обстоит, кстати, и в Android.
Вот такой "user's choice".
Спасибо, что вы увидели "белый список". Если для вас невозможность использовать DoH сервер не из предоодбренного Google списка не является запретом, то, видимо, у нас расхождения в элементарной логике.
Посмотрите выше дискуссию. Даже не знаю, что ещё можно добавить с моей стороны.
декларируются вполне адекватные намерения
Адекватные изменения сделаны в Firefox, поскольку пользователю не запрещается использовать любой желаемый DoH по его выбору. А тут, извините, пока гетто. Исключительно в целях заботы о пользователях, конечно.
Tangeman
30.10.2019 00:14Ещё раз — процитируйте пожалуйста «запрет».
Пока же вы утверждаете что отсутствие возможности сделать что-то в экспериментальном продукте является запретом. Тогда можете добавить в список запретов dig в текущих дистрибутивах — там тоже нельзя выбрать не то что свой, а вообще какой-либо DoH.
Впрочем, процитирую самого гугля:
For a first milestone, we are considering an auto-upgrade approach.
…
… this would upgrade the protocol used for DNS resolution while keeping the user’s DNS provider unchanged.
Как можно увидеть — исключительно в целях заботы о пользователях, да.mxms
30.10.2019 00:39+1Я, кажется, понял. Без слова "запрет" в тексте отсутствие возможности сделать свой, отличный от Google, выбор для вас запретом не является.
Ну ок.Tangeman
30.10.2019 01:11Временное отсутствие возможности сделать что-либо в бета-версии не является запретом — это просто отсутствие возможности. Знаете, бывают ведь просто сны.
Или вы утверждаете что вас изолировали от мира, интернета и заставили пользоваться только этой бета-версией хрома, причем без права апгрейда, да ещё и пожизненно?
Впрочем, неважно. Ставьте файрфокс, я не против.
Druu
30.10.2019 01:45Релиза фичи еще нет, с-но, и запрета никакого нет. На данный момент официально хром не поддерживает DoH ни в каком виде, ни с белыми списками, ни без них. Вот когда поддержка появится — тогда и можно будет обсуждать наличие возможности выбрать свой сервер.
mxms
30.10.2019 13:22Ну она, как бы, есть. Там можно из командной строки это включить. Но работает оно именно так, как я описал.
mxms
29.10.2019 22:56Кстати говоря, точно та же политика Google, когда пользователь не может использовать свой собственный DoT или, для любителей оверхеда — DoH, сервер, действует и на Android.
mikevmk
29.10.2019 17:25Не запрещает, но оставляет дыру в приватности, т.к. провайдер VPS и еще ряд игроков смогут отслеживать DNS-трафик, который пойдет форвардом с вашего DNS, и ассоциировать его с вами
Ситуацию надо, конечно, менять на другом уровне. И вводить шифрование в протокол повсеместно
mxms
29.10.2019 22:58Ситуацию надо, конечно, менять на другом уровне. И вводить шифрование в протокол повсеместно
Совершенно верно. Нужен DoT повсеместно, начиная с корневых серверов. Но корпорациям кормящимся на big data это не только не интересно, но и опасно.
mxms
29.10.2019 16:24Любопытно, что за DoH топит EFF который через собственный Let's Encrypt уже, по факту, централизовал выдачу TLS-сертификатов.
Singrana
29.10.2019 16:30Ну, как бы, нечто подобное может организовать и любая другая компания, но, почему-то, они не хотят этим заморачиваться
mxms
29.10.2019 16:34Технологически препятствий нет. Практически же надо добиться чтобы корневой сертификат, которым вы будете подписывать выпускаемые таким сервисом сертификаты, был в списках доверенных в браузерах и операционных системах.
Sly_tom_cat
29.10.2019 19:03А что мешает Comcast поднять на своих DNS серверах DоH и, вместо тупого поливания гугла с огнелисом, призвать остальных провайдеров поднимать DоH на своих DNS серверах? Причем все это можно пиарить под тем же соусом — поддержания децентрализации службы DNS, которую гугл с огнелисом пытаются порушить.
Goodkat
29.10.2019 19:49А смысл провайдеру поднимать свой DoH, если назначение DoH — скрыть от провайдера и прочих посредников запросы DNS?
Между провайдером и браузером пользователя обычно нет посредников кроме модема и ОС пользователя, причём модем обычно предоставляется самим провайдером, который и апдейты прошивки удалённо устанавливает.
creker
29.10.2019 22:02Смысл в том, чтобы продолжать собирать данные пользователей о посещении страниц и блокировать неугодные сайты как это хочет комкаст и прочие, а заодно нажиться на хайпе от некоторых неграмотных, что DoH от всего защитит. Неосведомленные пользователи будут довольны и ничего не подозревать, а продвинутые и так без всяких хромов и файрфоксов могут DoH пользоваться. Тот же Cloudflare любезно предоставляет демон для этого.
loki82
29.10.2019 22:34И кто его ручками вносить будет? Это при условии что они смогут убедить в безопасности своего DoH.
creker
29.10.2019 23:07Тот, кто будет интернет пользователю настраивать. Тот же, кто ставит провайдерский роутер. Есть категория пользователей, которым это все темный лес. Им придет мастер от провайдера и все сам настроит. Никого убеждать в безопаности своего DoH не нужно. Пользователь знать не знает что это такое вообще.
loki82
29.10.2019 23:15Так вот про это я и говорю. DoH начинается с браузера. И там уже из коробки нужный прописан.
creker
29.10.2019 23:16И? Провайдер придет настраивать интернет и впишет свой. Проблема решена для всех. Только пользователю теперь все как раньше — цензуры, блокировки, слежка и т.к. и т.п.
loki82
29.10.2019 23:20Такой момент я не учёл. Хотя обычно роутер воткнули.интернет работает? Я пошёл дальше. Если только в правилах пропишут. Но от установки другого браузера это не спасёт.
Nick_Shl
29.10.2019 20:26-2Поднять-то проблем нет… но сегодня Гугл "не планирует" менять настройки DNS у пользователей, а завтра может взять и "в целях безопасности" поменять.
mxms
30.10.2019 00:49Вы будете смеяться, но буквально вчера Comcast включил экспериментальную поддержку DoT, а в течение недели обещает и DoH.
Впрочем, поднятых проблем это не решает.
Nick_Shl
29.10.2019 20:32Даешь DNS на основе блокчейн! Что бы у каждого пользователя была локальная актуальная база DNS!
Интересно, какой вообще объем у базы данных всех доменов первого уровня...
Darkhon
29.10.2019 22:50Google (с примкнувшей к ней Mozilla)
И это при том, что Mozilla начала внедрять DoH в свой браузер намного раньше, чем Google. Если на то пошло, Mozilla «примкнула» к Cloudflare, и довольно плодотворно: помимо DoH уже тестируют Firefox Private Network. Какие бы там ни были интересы у Cloudflare, но вклад в борьбу с цензурой они вносят всё больший.
Revertis
30.10.2019 00:32+1«Конгресс должен поддержать системное принятие DoH, чтобы закрыть один из самых больших пробелов в приватности, оставшихся в интернете, одновременно продвигая дело свободы интернета во многих частях мира, остро нуждающихся в нём», — сказано в письме EFF.
Я не понял, а какое отношение какой-то там конгресс имеет к внедрению одного из протоколов в IT?
Aingis
delimer
А со временем эта настройка может и пропасть.
loki82
А зачем? Когда её можно будет поменять, зная, как она называется, а не через настройки для обычных пользователей.