0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как включить DNS-over-HTTPS в Google Chrome

Содержание

Когда вы посещаете какой-либо ресурс, ваш компьютер сначала должен найти адрес сервера этого сайта. Поэтому он посылает запрос на DNS-сервер с просьбой указать IP-адрес, который привязан к введенному вами адресу. До недавнего времени такой запрос мог отправляться только в незашифрованном виде. Это означает, что третьи лица теоретически могут прочитать его и выяснить, куда вы пытаетесь перейти, даже если ваше подключение к серверу шифруется с помощью HTTPS.

DNS over HTTPS просто использует протокол HTTPS для шифрования вашего DNS запроса, поэтому он не может быть прочитан. Это в значительной степени упрощает процесс перехода к более безопасному и конфиденциальному режиму работы. Он не очень популярен среди служб, которые хотят блокировать веб-трафик с помощью фильтрации DNS, но это уже совсем другое дело.

Свежие записи

  • Девять советов по повышению производительности Kubernetes
  • Защита Linux-сервера. Что сделать в первую очередь
  • Сеть, которая лечит себя сама: магия Flow Label и детектив вокруг ядра Linux. Доклад Яндекса
  • Второй HDMI монитор к Raspberry Pi3 через DPI интерфейс и FPGA плату
  • Конструкторы сайтов в 2020 году: что выбрать для бизнеса?
  • Мини ITX кластер Turing Pi 2 c 32 GB RAM
  • Huawei OceanStor Dorado 18000 V6: в чём её хай-эндовость
  • Организация рабочего процесса в команде на IT-проекте
  • NetSarang xShell — мощный клиент SSH
  • Способы и примеры внедрения утилит для проверки безопасности Docker

РСПП: предложенный Минцифры запрет протоколов шифрования сайтов отключит Россию от глобального интернета

Российский союз промышленников и предпринимателей (РСПП) раскритиковал предложение Минцифры запретить интернет-протоколы шифрования DNS-запросов. Эта инициатива, по мнению бизнеса, равносильна отключению России от глобального интернета. Об этом заключении РСПП стало известно 6 октября 2020 года.

Как пишет «Коммерсантъ» со ссылкой на отзыв РСПП к законопроекту, запрет современных протоколов шифрования сайтов сделает незаконным использование компьютеров и смартфонов. Законопроект также парализует работу информационных систем и приведёт к бюджетным затратам, заявили эксперты. Без шифрования трафик из банковской сферы — например, данные карт и транзакций — откроются мошенникам, предупредили в РСПП.

В союзе уверены, что в случае принятия закона будет необходимо модернизировать или изъять криптографии из всех государственных информационных систем, что повлечет за собой бюджетные затраты. В результате российские интернет-компании лишатся преимуществ, которые дают протоколы шифрования, и их конкурентные возможности и экспортный потенциал понизятся.

Опрошенные изданием эксперты в целом соглашаются с выводами РСПП. DoH- и DoT-протоколы в перспективе станут самыми популярными, их запрет грозит сложностями для российских компаний, уверен партнер и директор компании «Интеллектуальный резерв» Павел Мясоедов. При этом протоколы разрабатываются в первую очередь для повышения защищенности интернет-сервисов, так что их ограничение, действительно, будет на руку злоумышленникам, согласен партнер и руководитель практики управления киберрисками Deloitte Денис Липов.

В организации «Роскомсвобода» полагают, что «запрет использования современных протоколов и алгоритмов шифрования, которые применяются все большим количеством веб-сервисов и ИТ-компаний, сродни запрету устанавливать надежные замки на двери или непрозрачные занавески на окнах». [1]

Минцифры решило запретить интернет-протоколы, мешающие блокировкам сайтов

В сентябре 2020 года стало известно о решении Минцифры запретить использование в России протоколов шифрования DNS-запросов под угрозой блокировки сайтов.

Речь идет о протоколах TLS 1.3 с расширением ESNI (используется для размещения на одном IP-адресе нескольких HTTPS-сайтов), DoH (DNS поверх HTTPS), DoT (DNS поверх TLS) и расширении к протоколу. Они позволяют скрыть информацию о том, какой сайт собрался посетить пользователь,— тем самым провайдер интернета не может этого узнать и не может запретить пользователю переход на запрещенный ресурс.

Как заявили в Минцифры, применение таких алгоритмов и методов шифрования может снизить эффективность использования существующих систем фильтрации. Это, в свою очередь, значительно затруднит выявление интернет-ресурсов, содержащих запрещённую в России информацию.

В связи с этим ведомство предлагает внести поправки в закон «Об информации, информационных технологиях и о защите информации». Проект запрещает использовать в стране протоколы шифрования, позволяющие скрыть имя (идентификатор) веб-страницы или сайта. Исключения составляют случаи, установленные российским законодательством.

Законопроект предусматривает: если Роскомнадзор узнает об использовании протоколов шифрования, позволяющих скрыть имя сайта, он заблокирует этот ресурс. Любое шифрование в сети скрывает данные, а чем меньше данных видно, тем хуже работают блокировки, объясняет технический директор QRator Labs Артем Гавриченков. [2]

Власти РФ отработают блокировку трафика, проходящего по протоколам DNS over HTTPS и DNS over TLS

15 января 2020 года стало известно о том, что Минкомсвязи утвердил график проведения в 2020 г. плановых учений по обеспечению устойчивого, безопасного и целостного функционирования на территории России сети интернет и сетей связи общего пользования. Документ за подписью временно исполняющего обязанности министра связи Алексея Волина опубликован на сайте министерства.

Согласно приказу министерства, 20 марта 2020 г. будет отработана возможность по блокировки трафика, защищенного с использованием технологией DNS поверх HTTPS (DoH) и DNS поверх TLS. Подробнее здесь.

Угрозы и перспективы развития системы DNS

26 ноября в Берлине состоялось открытие 14-го Всемирного форума по управлению интернетом. Мероприятие проходит под эгидой Организации объединенных наций, принимающей стороной выступило Министерство экономики Германии. На форум зарегистрировалось более 3 тысяч участников.

Начальник отдела внешних коммуникаций Координационного центра доменов .RU/.РФ Михаил Анисимов прокомментировал возможные последствия использования технологии DoH (DNS over HTTPS). По его словам, особенно важно участвовать не только в разработке стандартов, но и в создании рекомендаций по внедрению технологий. DoH при всех тех возможностях, которые технология дает для обеспечении приватности пользователей, сильно меняет сложившуюся экосистему информационной безопасности. Она затрудняет блокировку противоправного контента, часто нарушает многие корпоративные политики безопасности и концентрирует большое количество обрабатываемых запросов в руках крупных корпораций. Таким образом можно говорить о «корпоративных» сегментах интернета, которые теоретически могут друг с другом даже не пересекатся – интернет Google, интернет CloudFlare и других.

Читать еще:  Увеличить скорость интернет

Внедрение в Windows 10

В ноябре 2019 года Microsoft сообщила о внедрении протокола шифрования «DNS поверх HTTPS» (DNS-over-HTTPS, DoH) в операционную систему Windows 10.

Использование технологии на практике означает возможность обхода любых блокировок запрещенных сайтов по DNS, поскольку все DNS-запросы будут передаваться в зашифрованном виде, а блокировки по IP-адресу будут преодолеваться изменением IP заблокированного адреса.

Шифрование по протоколу DNS-over-HTTPS в перспективе также может оставить не у дел методику глубокой проверки и управления сетевым трафиком Deep Packet Inspection (DPI), взятую на вооружение Роскомнадзором, поскольку фильтрация пакетов зашифрованного https-трафика со множества IP-адресов потеряет смысл.

Разработчики из подразделения Windows Core Networking Томми Дженсен, Иван Пашо и Габриэль Монтенегро предупредили, что поддержку DoH нелегко реализовать без нарушения настроек администратора в Windows-устройствах.

Компания также подчёркивает, что DoH в Windows 10 к ноябрю 2019 года имеет статус приоритетной задачи, поскольку поможет как частным клиентам, так и компаниям, которые смогут использовать уже существующую HTTPS-инфраструктуру для более быстрого шифрования DNS.

Широко распространенный стандарт DoH гарантирует, что его не нужно будет централизовать, а это должно сделать всю экосистему интернета более здоровой, уверены в Microsoft. [3]

Включение протокола DNS-over-HTTPS в браузер Google Chrome 78

13 сентября 2019 года стало известно, что разработчики проекта Chromium из компании Google объявили о планах экспериментальной обкатки протокола шифрования «DNS поверх HTTPS» (DNS-over-HTTPS, DoH) в сборке браузера Chrome под номером 78, стабильный релиз которого ожидается 22 октября 2019 года. Подробнее здесь.

Включение протокола DNS-over-HTTPS в браузер Firefox

11 сентября 2019 года стало известно, что разработчики из Mozilla Corporation сообщили об успешном испытании экспериментального протокола шифрования DNS поверх HTTPS (DNS-over-HTTPS, DoH). Он обеспечивает получение информации о домене (DNS) через криптографически защищенный протокол HTTPS. Подробнее здесь.

Как работает DNS-over-HTTPS

Для блокировки сайтов провайдерам или регуляторам требуется знать доменное имя (URL), получаемое через DNS-запрос, и IP-адрес блокируемого ресурса. В случае, если DNS-запрос скрыт шифрованием – например, с помощью протокола DNS-over-HTTPS, провайдер не сможет блокировать конкретный ресурс из-за скрытого от него URL.

В случае, если заблокированный ресурс предоставит один IP-адрес для открытого DNS-запроса и другой для DNS-запроса с шифрованием по протоколу DNS-over-HTTPS, блокировки также станут бессильны. Техническими партнерами для реализации такой возможности выступают современные CDN-провайдеры.

Технически незашифрованный URL может быть также перехвачен через поле запроса SNI (Server Name Indication) – специальное расширение протокола TLS, в котором есть возможность сообщить имя хоста в процессе «рукопожатия» для открытия криптографически защищенной SSL-сессии.

Для этих целей разработан стандарт зашифрованной передачи имени хоста – Encrypted SNI (ESNI), где клиентская система получает публичный ключ сервера из DNS и производит шифрование всех данных еще до начала TLS-сессии. По состоянию на сентябрь 2019 года ряд CDN-провайдеров, экспериментирующих с внедрением DNS-over-HTTPS, также поддерживают технологию Encrypted SNI. [4]

DNS over HTTPS в браузере Mozilla Firefox

Вот что об этом пишет сама Mozilla:

«Наши начальные тесты DoH изучили время, необходимое для получения ответа от DoH CloudFlare. Результаты были очень положительными — самые медленные подключения демонстрируют огромное улучшение производительности. Недавний тест на нашем бета-канале подтвердил, что DoH работает быстро и не вызывает проблем для наших пользователей».

Для тех, кто не был выбран для тестирования новой функции, но все же хочет протестировать реализацию DoH в Firefox, может включить ее вручную, используя приведенную ниже инструкцию.

Свежие записи

  • Девять советов по повышению производительности Kubernetes
  • Защита Linux-сервера. Что сделать в первую очередь
  • Сеть, которая лечит себя сама: магия Flow Label и детектив вокруг ядра Linux. Доклад Яндекса
  • Второй HDMI монитор к Raspberry Pi3 через DPI интерфейс и FPGA плату
  • Конструкторы сайтов в 2020 году: что выбрать для бизнеса?
  • Мини ITX кластер Turing Pi 2 c 32 GB RAM
  • Huawei OceanStor Dorado 18000 V6: в чём её хай-эндовость
  • Организация рабочего процесса в команде на IT-проекте
  • NetSarang xShell — мощный клиент SSH
  • Способы и примеры внедрения утилит для проверки безопасности Docker

Проверка работы DNS over HTTPS

Чтобы проверить, используете ли вы сейчас DoH для разрешения DNS-запросов, вы можете перейти на страницу проверки безопасности браузера CloudFlare и нажать кнопку «Проверить мой браузер». Страница проведет несколько тестов, которые смогут определить, используете ли вы Secure DNS, DNSSEC, TLS 1.3 или зашифрованный SNI.

Если DNS over HTTPS включен, вы увидите зеленую галочку около надписи Secure DNS.

С этого момента вы используете DNS сервера Cloudflare вместо DNS провайдера.

Вы также можете использовать другой DNS, например Google DNS. Для этого в network.trr.uri вместо адреса https://mozilla.cloudflare-dns.com/dns-query введите https://dns.google.com/experimental. И измените значение в параметре network.trr.bootstrapAddress с 1.1.1.1 на 8.8.8.8.

DoH — это конечно хорошо. Повышенная конфиденциальность, защита от MITM атак — с одной стороны, но с другой стороны: Google, CloudFlare и Mozilla хотят создать централизованные хранилища DNS запросов. Если сейчас личными данными и историей DNS запросов владеют интернет-провайдеры, то в будущем «все яйца, будут в одной корзине». Google и CloudFlare конечно уверяют что не будут хранить на своих серверах исходные IP-адреса, а логи по DNS не будут храниться более 24 часов, но кто знает, что будет завтра, и что происходит сейчас…

На этом все. Теперь вы знаете немного больше о том, что такое DNS over HTTPS, и как включить данную настройку в браузере Mozilla Firefox. Кстати, если хотите защититься от фишинг-атак прочитайте статью «Как включить IDN Punycode в браузере Firefox».

Как включить DoH в любом браузере

Вот, что нам известно на сегодня по поводу планов производителей браузеров, связанных с DoH, и о том, как пользователи могут включить DoH в любом браузере.

Brave

«Мы очень хотим реализовать его», — сказал нам Том Лоуэнталь, менеджер продукта из Brave for Privacy & Security.

Однако у команды Brave пока нет точных сроков внедрения DoH. Они занимаются другими улучшениями, связанными с приватностью. К примеру, на этой неделе компания выпустила обновление, улучшающее распознавание скриптов, отслеживающих действия пользователей. На горизонте маячит версия Brave 1.0, и команде нужно сконцентрироваться на её выходе. Но DoH в Brave будет.

Читать еще:  ТОП-25 Лучших ВПН (VPN) Сервисов на Андроид

«Реализация DoH – это гораздо больше, чем простая техническая задача. Нам нужно решить, какие разумные и защитные установки мы можем включить по умолчанию для большинства людей, не задумывающихся о настройке DNS – но так, чтобы мы ничего не сломали у тех людей и организаций, что тщательно подошли к подстройке своих программ», — сказал Лоуэнталь.

Поскольку Brave основан на открытом проекте Chromium, в нём есть поддержка DoH. Однако команда пока не настроила эту поддержку. В коде она есть, но включается так, как это придумала команда авторов Google Chrome. Включить DoH в Brave можно, перейдя на следующий URL:

Chrome

Google Chrome стал вторым браузером после Firefox, добавившим поддержку DoH. Её можно включить, перейдя по следующему URL:

По-умолчанию DoH не включено для всех. Сейчас Google проводит ограниченный эксперимент с небольшим количеством пользователей, чтобы проверить, как DoH покажет себя при реальном использовании.

Поддержка DoH в Chrome отличается от Firefox, по-умолчанию перенаправляющего DoH-трафик на Cloudflare. Браузер после включения протокола будет отправлять DNS-запросы на всё те же сервера, что и ранее. Если у выбранного сервера окажется интерфейс с поддержкой DoH, тогда Chrome зашифрует DNS-трафик и отправит его на тот же DNS-сервер по протоколу DoH.

Благодаря этому Chrome не перехватывает DNS-настройки ОС – это очень ответственный подход, поскольку браузер может использоваться в условиях больших предприятий.

На текущий момент DoH в Chrome работает так:

  • Пользователь вводит URL сайта в браузере.
  • Chrome получает данные по DNS-серверу ОС.
  • Он проверяет, есть ли этот сервер в белом списке одобренных серверов с поддержкой DoH.
  • Если да, Chrome отправляет зашифрованный DNS-запрос на интерфейс этого сервера.
  • Если нет, Chrome отправляет обычный DNS-запрос к этому серверу.

Поэтому у пользователя существует риск так и не воспользоваться протоколом DoH. ОС пользователя обычно получает настройки DNS от авторитетного сетевого центра, коим обычно выступает провайдер. Если провайдер не хочет использовать DNS с поддержкой DoH, то у вас это и не будет работать.

Однако есть два способа обойти это и заставить Chrome использовать DoH постоянно и вне зависимости от настроек DNS вашего провайдера.

Во-первых, можно воспользоваться обучающим материалом по принудительному включению поддержки DoH в Chrome. Во-вторых, пользователь может настроить DNS-сервер с поддержкой DoH в своей ОС. Его можно выбрать из списка, и это гарантированно будет работать в Chrome.

В следующем году Microsoft планирует выпустить новую версию браузера Edge на основе кода Chromium. Представитель Microsoft сообщил нам, что компания поддерживает DoH, но точные планы не раскрывает. Однако, версия Edge на основе Chromium уже поддерживает DoH. Её можно включить, перейдя по URL:

Это включит поддержку DoH, но она будет работать только, если ваш компьютер использует DNS с поддержкой DoH – чего в 99% случаев не происходит. Чтобы принудительно включить DoH в Edge, вы можете воспользоваться инструкцией из следующего поста в блоге одного из программистов Edge. Адрес сервера Cloudflare можно заменить на любой другой сервер DoH, который можно выбрать по ссылке. После соответствующей настройки, Edge способен работать с DoH.

Firefox

Mozilla стала пионером этого протокола совместно с Cloudflare. Поддержка DoH уже есть в стабильных версиях Firefox. Её можно включить в настройках в разделе «Настройки сети».

Все критикуют реализацию DoH в Firefox потому, что браузер по умолчанию использует Cloudflare, перезаписывая настройки DNS.

Однако это значение можно поменять, прописав любой сервер с DoH. Из всех браузеров, поддержка протокола в Firefox реализована лучше всего, а настроить её легче всего – в основном потому, что разработчики имели с ней дело дольше остальных.

Сейчас браузер уже включает поддержку DoH по умолчанию для всех пользователей США. Поскольку британское правительство возражает против этого, для британских пользователей эта поддержка по умолчанию включена не будет.

В прошлом Mozilla не гарантировала включение DoH по умолчанию в других странах. Однако, поскольку поддержка протокола уже есть в стабильной версии браузера, пользователю остаётся лишь включить её, и всё будет работать.

Opera

Opera уже встроила поддержку DoH. По умолчанию она выключена, но её можно включить в любой момент, и всё будет работать без дополнительных шагов.

Разработчики Opera используют модуль для работы с DoH сходный с тем, что используется в Firefox, и не оставляют всё на откуп провайдерам, как Chrome. Весь трафик браузера сейчас идёт через резолвер 1.1.1.1 от Cloudflare.

Мы не нашли способа поменять его на другой, но, по крайней мере, DoH в Opera работает. Однако работать с VPN он не будет – если вам нужен DoH, то его придётся отключить.

Чтобы включить DoH в Opera, зайдите сюда:

Safari

Нет данных. Разработчики Safari обычно опаздывают на все вечеринки по добавлению новых возможностей, а Apple недавно вкладывалась в конфиденциальность пользователей, поэтому есть все шансы, что у Safari появится поддержка DoH.

Vivaldi

Представитель Vivaldi сказал, что поддержка DoH связана с реализацией Chrome. Пользователи могут включить её, перейдя по следующему URL:

Однако поскольку DoH в Vivaldi работает так же, как в Chrome, он не будет шифровать DNS-запросы, если пользователь использует DNS-сервер, указанный в ОС, и не поддерживающий шифрование.

Скорее всего, придётся добавить в настройки DNS вашей ОС один из серверов, поддерживающий DoH, чтобы эта функция заработала в Vivaldi, и использовать его постоянно. Мы смогли добиться этого, прописав в настройках DNS-сервер 1.1.1.1.

Представитель Vivaldi сказал, что в будущем поддержка DoH в браузере может поменяться, в зависимости от того, как Google будет изменять поддержку протокола в Chromium.

РСПП: предложенный Минцифры запрет протоколов шифрования сайтов отключит Россию от глобального интернета

Российский союз промышленников и предпринимателей (РСПП) раскритиковал предложение Минцифры запретить интернет-протоколы шифрования DNS-запросов. Эта инициатива, по мнению бизнеса, равносильна отключению России от глобального интернета. Об этом заключении РСПП стало известно 6 октября 2020 года.

Как пишет «Коммерсантъ» со ссылкой на отзыв РСПП к законопроекту, запрет современных протоколов шифрования сайтов сделает незаконным использование компьютеров и смартфонов. Законопроект также парализует работу информационных систем и приведёт к бюджетным затратам, заявили эксперты. Без шифрования трафик из банковской сферы — например, данные карт и транзакций — откроются мошенникам, предупредили в РСПП.

В союзе уверены, что в случае принятия закона будет необходимо модернизировать или изъять криптографии из всех государственных информационных систем, что повлечет за собой бюджетные затраты. В результате российские интернет-компании лишатся преимуществ, которые дают протоколы шифрования, и их конкурентные возможности и экспортный потенциал понизятся.

Опрошенные изданием эксперты в целом соглашаются с выводами РСПП. DoH- и DoT-протоколы в перспективе станут самыми популярными, их запрет грозит сложностями для российских компаний, уверен партнер и директор компании «Интеллектуальный резерв» Павел Мясоедов. При этом протоколы разрабатываются в первую очередь для повышения защищенности интернет-сервисов, так что их ограничение, действительно, будет на руку злоумышленникам, согласен партнер и руководитель практики управления киберрисками Deloitte Денис Липов.

Читать еще:  Процессор не загружается полностью: это ошибка

В организации «Роскомсвобода» полагают, что «запрет использования современных протоколов и алгоритмов шифрования, которые применяются все большим количеством веб-сервисов и ИТ-компаний, сродни запрету устанавливать надежные замки на двери или непрозрачные занавески на окнах». [1]

Минцифры решило запретить интернет-протоколы, мешающие блокировкам сайтов

В сентябре 2020 года стало известно о решении Минцифры запретить использование в России протоколов шифрования DNS-запросов под угрозой блокировки сайтов.

Речь идет о протоколах TLS 1.3 с расширением ESNI (используется для размещения на одном IP-адресе нескольких HTTPS-сайтов), DoH (DNS поверх HTTPS), DoT (DNS поверх TLS) и расширении к протоколу. Они позволяют скрыть информацию о том, какой сайт собрался посетить пользователь,— тем самым провайдер интернета не может этого узнать и не может запретить пользователю переход на запрещенный ресурс.

Как заявили в Минцифры, применение таких алгоритмов и методов шифрования может снизить эффективность использования существующих систем фильтрации. Это, в свою очередь, значительно затруднит выявление интернет-ресурсов, содержащих запрещённую в России информацию.

В связи с этим ведомство предлагает внести поправки в закон «Об информации, информационных технологиях и о защите информации». Проект запрещает использовать в стране протоколы шифрования, позволяющие скрыть имя (идентификатор) веб-страницы или сайта. Исключения составляют случаи, установленные российским законодательством.

Законопроект предусматривает: если Роскомнадзор узнает об использовании протоколов шифрования, позволяющих скрыть имя сайта, он заблокирует этот ресурс. Любое шифрование в сети скрывает данные, а чем меньше данных видно, тем хуже работают блокировки, объясняет технический директор QRator Labs Артем Гавриченков. [2]

Власти РФ отработают блокировку трафика, проходящего по протоколам DNS over HTTPS и DNS over TLS

15 января 2020 года стало известно о том, что Минкомсвязи утвердил график проведения в 2020 г. плановых учений по обеспечению устойчивого, безопасного и целостного функционирования на территории России сети интернет и сетей связи общего пользования. Документ за подписью временно исполняющего обязанности министра связи Алексея Волина опубликован на сайте министерства.

Согласно приказу министерства, 20 марта 2020 г. будет отработана возможность по блокировки трафика, защищенного с использованием технологией DNS поверх HTTPS (DoH) и DNS поверх TLS. Подробнее здесь.

Угрозы и перспективы развития системы DNS

26 ноября в Берлине состоялось открытие 14-го Всемирного форума по управлению интернетом. Мероприятие проходит под эгидой Организации объединенных наций, принимающей стороной выступило Министерство экономики Германии. На форум зарегистрировалось более 3 тысяч участников.

Начальник отдела внешних коммуникаций Координационного центра доменов .RU/.РФ Михаил Анисимов прокомментировал возможные последствия использования технологии DoH (DNS over HTTPS). По его словам, особенно важно участвовать не только в разработке стандартов, но и в создании рекомендаций по внедрению технологий. DoH при всех тех возможностях, которые технология дает для обеспечении приватности пользователей, сильно меняет сложившуюся экосистему информационной безопасности. Она затрудняет блокировку противоправного контента, часто нарушает многие корпоративные политики безопасности и концентрирует большое количество обрабатываемых запросов в руках крупных корпораций. Таким образом можно говорить о «корпоративных» сегментах интернета, которые теоретически могут друг с другом даже не пересекатся – интернет Google, интернет CloudFlare и других.

Внедрение в Windows 10

В ноябре 2019 года Microsoft сообщила о внедрении протокола шифрования «DNS поверх HTTPS» (DNS-over-HTTPS, DoH) в операционную систему Windows 10.

Использование технологии на практике означает возможность обхода любых блокировок запрещенных сайтов по DNS, поскольку все DNS-запросы будут передаваться в зашифрованном виде, а блокировки по IP-адресу будут преодолеваться изменением IP заблокированного адреса.

Шифрование по протоколу DNS-over-HTTPS в перспективе также может оставить не у дел методику глубокой проверки и управления сетевым трафиком Deep Packet Inspection (DPI), взятую на вооружение Роскомнадзором, поскольку фильтрация пакетов зашифрованного https-трафика со множества IP-адресов потеряет смысл.

Разработчики из подразделения Windows Core Networking Томми Дженсен, Иван Пашо и Габриэль Монтенегро предупредили, что поддержку DoH нелегко реализовать без нарушения настроек администратора в Windows-устройствах.

Компания также подчёркивает, что DoH в Windows 10 к ноябрю 2019 года имеет статус приоритетной задачи, поскольку поможет как частным клиентам, так и компаниям, которые смогут использовать уже существующую HTTPS-инфраструктуру для более быстрого шифрования DNS.

Широко распространенный стандарт DoH гарантирует, что его не нужно будет централизовать, а это должно сделать всю экосистему интернета более здоровой, уверены в Microsoft. [3]

Включение протокола DNS-over-HTTPS в браузер Google Chrome 78

13 сентября 2019 года стало известно, что разработчики проекта Chromium из компании Google объявили о планах экспериментальной обкатки протокола шифрования «DNS поверх HTTPS» (DNS-over-HTTPS, DoH) в сборке браузера Chrome под номером 78, стабильный релиз которого ожидается 22 октября 2019 года. Подробнее здесь.

Включение протокола DNS-over-HTTPS в браузер Firefox

11 сентября 2019 года стало известно, что разработчики из Mozilla Corporation сообщили об успешном испытании экспериментального протокола шифрования DNS поверх HTTPS (DNS-over-HTTPS, DoH). Он обеспечивает получение информации о домене (DNS) через криптографически защищенный протокол HTTPS. Подробнее здесь.

Как работает DNS-over-HTTPS

Для блокировки сайтов провайдерам или регуляторам требуется знать доменное имя (URL), получаемое через DNS-запрос, и IP-адрес блокируемого ресурса. В случае, если DNS-запрос скрыт шифрованием – например, с помощью протокола DNS-over-HTTPS, провайдер не сможет блокировать конкретный ресурс из-за скрытого от него URL.

В случае, если заблокированный ресурс предоставит один IP-адрес для открытого DNS-запроса и другой для DNS-запроса с шифрованием по протоколу DNS-over-HTTPS, блокировки также станут бессильны. Техническими партнерами для реализации такой возможности выступают современные CDN-провайдеры.

Технически незашифрованный URL может быть также перехвачен через поле запроса SNI (Server Name Indication) – специальное расширение протокола TLS, в котором есть возможность сообщить имя хоста в процессе «рукопожатия» для открытия криптографически защищенной SSL-сессии.

Для этих целей разработан стандарт зашифрованной передачи имени хоста – Encrypted SNI (ESNI), где клиентская система получает публичный ключ сервера из DNS и производит шифрование всех данных еще до начала TLS-сессии. По состоянию на сентябрь 2019 года ряд CDN-провайдеров, экспериментирующих с внедрением DNS-over-HTTPS, также поддерживают технологию Encrypted SNI. [4]

Респект за пост! Спасибо за работу!

Хотите больше постов? Узнавать новости технологий? Читать обзоры на гаджеты? Для всего этого, а также для продвижения сайта, покупки нового дизайна и оплаты хостинга, мне необходима помощь от вас, преданные и благодарные читатели. Подробнее о донатах читайте на специальной странице.

Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector