Протокол DNS-over-HTTPS набирает обороты и компания Google планирует внедрить данную технологию в следующей 78 версии своего браузера с большим числом CDN-партнеров
Разработчики проекта Chromium из Google рассказали о появлении технологии DoH (DNS-over-HTTPS) в новой уже 78 версии браузера компании Google Chrome. Стабильная версия 78 сборки ожидается 22 октября 2019 года.
Протокол DoH обеспечивает обработку запросов на получение информации о домене сайта (DNS) через защищенный протокол HTTPS. Первой о включении сей технологии по умолчанию в одной из следующих версий своего браузера на днях объявила компания Mozilla.
В рознь действиям осторожным Mozilla, планирующей только постепенный ввод поддержки DoH лишь для части пользователей США с единственным CDN-партнером Cloudflare, а Google имеет более масштабные планы.
Так, непосредственно на старте плана разработчики браузера рассказали о поддержке со стороны сразу шести CDN-партнеров, уже внедривших протокол у себя. В анонсе проекта также было упомянуто, что проект будет доступен «для небольшой части пользователей Chrome», но не были сказаны какие-либо географические ограничения эксперимента компании, что возможно дает шанс участия в нем жителям разных стран.
Главная идея проекта с включением протокола DNS-over-HTTPS, по словам разработчиков компании, является увеличение конфиденциальности пользователей в интернете. Так, к примеру, при подключении по общественному Wi-Fi протокол не позволяет иным пользователям той же сети определять посещаемые остальными юзерами сайты, а также убирает возможность взломать устройство с помощью DNS-спуфинга («отравление кэша DNS») или фарминга (скрытного перенаправления на ложный IP-адрес).
В своём посте в блоге Google Кенджи Бахе (Kenji Baheux), менеджер по продуктам Chrome, назвал это движением в сторону «повышения безопасности использования интернета».
В реалиях единовременное включение поддержки протокола DoH в браузере и на стороне а означает дальнейшую ненадобность систем фильтрации интернет трафика для блокировки «нежелательных» сайтов — по крайней мере, для тех сайтов, которые размещают хостинг у таких CDN-провайдеров.
Как будет работать DoH в Chrome 78?
По данным разработчиков из Google, на старте эксперимента с внедрением DoH-а в следующую версию браузера компании будут участвовать минимум, шесть CDN-провайдеров, внедривших у себя поддержку протокола в свою службу DNS – это Cleanbrowsing, Cloudflare, DNS.SB, OpenDNS, Quad9 и сама Google. К моменту полноценного запуска проекта список партнеров потенциально может быть расширен, говорят авторы проекта.
Служба обработки DNS-запросов при этом остается той же – изменится только протокол обращения, который теперь будет зашифрован. В результате, как заверяет Google, все элементы управления контентом DNS-провайдера, в том числе, активированные системы родительского контроля, останутся активными.
На данной стадии эксперимента предполагается, что при обращении к сайту Chrome 78 будет проверять, входит ли DNS-провайдер пользователя в список походящий CDN-партнеров, и затем обновит поддержку DoH от этого партнера. В случае, если DNS-провайдера не найден в списке поддерживаемых, браузер продолжит работать в обычном режиме – без активации DoH.
Таким образом, в идеале любые возможности фильтрования трафика и блокирования сайта по домену будут успешно лишь для тех интернет-ресурсов, которые размещают свои ресурсы у хостеров с «устаревшими» платформами – то есть, без поддержки протокола.
Эксперимент будет проводиться везде где поддерживается браузер от Google, кроме Linux и iOS. Так, пользователям мобильных девайсов под управлением Android Pie и выше для поддержки протокола в Chrome можно указать поставщика DNS-over-TLS в настройках частного DNS. В случае невозможности поддержки DoH настройки просто «откатятся» к стандартным настройкам частного DNS.
В случае сбоя работы DoH-а или чересчур медленного соединения при его использовании, настройки браузера Chrome также вернут сию настройку обратно к стандартной настройке служб DNS-провайдера. От участия в этом эксперименте при использовании Chrome версии 78 также можно отказаться, отключив флажок в настройках браузера: chrome://flags/#dns-over-https.
Разработчики Chromium также отметили, что из эксперимента с обкаткой DoH исключено множество вариантов видов браузера, включая корпоративные и образовательные версии . Отдельно, о специфических политиках поддержки DoH для компаний будет рассказано позже, в корпоративном блоге Chrome Enterprise.
Как работает DNS-over-HTTPS
Для блокировки сайтов провайдерам или регуляторам надо знать домен(URL), получаемое через DNS-запрос, и IP-адрес блокируемого ресурса. В случае, если DNS-запрос скрыт шифрованием – например, с помощью протокола DNS-over-HTTPS, провайдер просто не видит, что это за ресурс и не может его заблокировать.
Другой вид блокировки – по IP-адресу – регулярно практикуется провайдерами и регуляторами. В частности, Роскомнадзор блокировал и затем был вынужден снять блокировку с миллионов IP-адресов облачной площадки Amazon Web Services в рамках борьбы с мессенджером Telegram.
Сравнение нынешней системы DNS и DoH
Если заблокированный ресурс предоставит один IP-адрес для открытого DNS-запроса и другой для DNS-запроса с шифрованием по протоколу, блокировки также станут нерабочими. Тех. партнерами для реализации такой возможности выступают современные CDN-провайдеры.
Технически есть возможность, что незащещённый URL-адрес может быть также перехвачен через поле запроса SNI – специальное расширение протокола TLS, в котором есть возможность сообщить имя хоста в процессе «рукопожатия» для открытия криптографически защищенной SSL-сессии.
Работа протокола TLS 1.3 со включенным Encrypted SNI
Для этих целей разработан стандарт зашифрованной передачи имени хоста – Encrypted SNI, где клиентская система получает публичный ключ сервера из DNS и производит шифрование всех данных еще до начала TLS-сессии. Ряд CDN-провайдеров, экспериментирующих с внедрением DNS-over-HTTPS, также поддерживают технологию Encrypted SNI.
Источник: Cnews.
***