На протяжении всей истории Интернета традиционный трафик системы доменных имен (DNS) — например, запросы пользователей на доступ к определенным веб-сайтам — в основном не шифровался. Это означает, что каждый раз, когда вы ищете веб-адрес в «телефонной книге Интернета», каждая часть цепочки создания ценности DNS, принимающая ваш запрос, может проверять эти запросы и ответы или даже изменять их. Зашифрованный DNS, например, использование DNS через HTTPS (DoH), меняет ситуацию. Несколько крупных интернет-компаний, таких как Apple, Mozilla, Microsoft и Google, реализуют зашифрованный DNS через DoH в своих сервисах и приложениях. Mozilla одной из первых внедрила DoH в своем браузере в США в конце 2018 года, Apple внедряет его с обновлениями iOS 14 и macOS 11 осенью 2020 года, а Google внедряет DoH в Chrome для Android.
Телефонный справочник в Интернете по всему миру
DNS (система доменных имен) по существу функционирует как телефонный справочник Интернета. Если мы считаем, что домен верхнего уровня (самая правая часть веб-адреса, например .com, .org или .info) эквивалентен коду страны или кода города, второй уровень (в случае . eco. de International это будет .eco.) как стандартный номер компании, а третий уровень (международный) как конкретное расширение, можно получить представление о том, как составляется этот каталог и как компьютеры находят службу, которую они используют. хочу посетить. Резолверы DNS отвечают за поиск интернет-ресурса (например, веб-сайта), который вы набрали на своем компьютере или телефоне. Первый преобразователь DNS, к которому локально подключено ваше устройство, — это ваш домашний или рабочий маршрутизатор или общедоступная точка доступа. Этот решатель выполняет ряд шагов, проверяя любые предварительно настроенные настройки на устройстве или записи предыдущих посещений данного веб-сайта (называемые кешем). В противном случае преобразователь перенаправит DNS-запрос следующему преобразователю, например поставщику услуг Интернета (ISP), к которому вы подключены. Этот преобразователь выполнит те же действия и, в конечном итоге, если ничего не поможет, найдет домен в «телефонной книге Интернета».
От каких рисков DoH защищает пользователей?
Одной из целей, преследуемых при разработке протокола DoH, было повышение конфиденциальности и безопасности пользователей за счет предотвращения подслушивания и манипулирования данными DNS. Шифрование DNS-трафика защищает вас от возможности того, что злоумышленник может перенаправить вас в другой (злонамеренный) пункт назначения, например, на поддельный банковский веб-сайт вместо того, который вы намеревались посетить. Этот тип кибератаки известен как атака «Человек посередине» (MITM). Шифрование DNS через DoH (или связанный с ним протокол DoT) — единственное реалистичное решение, доступное в настоящее время. Монетизация данных DNS, например, в маркетинговых целях, является потенциальной и реальной проблемой конфиденциальности, которую разработчики DoH также хотели решить.
Защитите пользователей в публичных сетях
При использовании общедоступной беспроводной сети (Wi-Fi) в отелях, кафе и т. д. данные DNS-запросов вашего мобильного телефона могут использоваться для анализа вашего поведения и отслеживания вас в сетях. Часто эти службы DNS являются частью комплексного решения Wi-Fi, доступного по всему миру; может оказаться недостаточным для соблюдения местных законов о конфиденциальности и потенциально не иметь настроек защиты конфиденциальности. не активирован. Кроме того, бесплатные общедоступные услуги Wi-Fi, особенно если они управляются или предоставляются малыми предприятиями, часто плохо управляются с точки зрения безопасности и производительности, что делает вас уязвимыми для атак на ваши сети. DoH защищает пользователей в этих общедоступных беспроводных сетях, поскольку преобразователь DNS сети Wi-Fi обходится, что предотвращает отслеживание пользователей и манипулирование данными на этом уровне. Таким образом, DoH предоставляет возможность защитить связь в ненадежной среде.
Что изменится в DoH?
Только DNS через HTTPS меняет только транспортный механизм, с помощью которого взаимодействуют ваше устройство и преобразователь. Запросы и ответы шифруются с использованием известного протокола HTTPS. В настоящее время, поскольку еще мало реализованных преобразователей DoH и все еще ведется работа над тем, чтобы технически разрешить «обнаружение» преобразователей DoH, DNS-запросы, использующие DoH, обычно обходят локальный преобразователь и вместо этого обрабатываются внешней третьей стороной. Поставщик DoH, уже назначенный разработчиком или производителем соответствующего программного обеспечения. Все больше и больше поставщиков услуг решают, предлагать ли им собственные услуги DoH.
Хочу ли я использовать DoH в своей корпоративной сети?
Хотя DoH — полезный способ защитить себя при использовании общедоступной точки доступа, он может не быть предпочтительным вариантом для доверенных сетевых сред, таких как корпоративные сети или корпоративные службы. Доступ в Интернет приобретен у надежного интернет-провайдера. Например, у вашей компании могут быть законные причины запретить приложение, которое игнорирует и переопределяет системные настройки по умолчанию; это даже можно считать потенциально опасным, поскольку администратор сети не может контролировать это внутри сети. . Многие проблемы корпоративных сетей исчезнут, если DoH будет реализован на уровне системы, а не на уровне приложений. Например, на системном уровне администратор корпоративной сети может настроить систему и создать политику, которая гарантирует, что, пока устройство находится в корпоративной сети, следует использовать корпоративный преобразователь, а пока устройство находится в общедоступной сети, DoH следует использовать для повышения безопасности и конфиденциальности. Однако если DoH реализован по умолчанию на уровне приложения, эти различные настройки игнорируются. Существуют и другие опасения по поводу использования внешнего разрешения DNS через DoH, начиная от потенциально медленного времени отклика и заканчивая обходом родительского контроля и юридически обязательной блокировкой. Но в целом многие потенциальные недостатки DoH перевешиваются множеством преимуществ, в зависимости от контекста. В этом нет никаких сомнений: DNS-шифрование повышает безопасность и конфиденциальность пользователей. DoH может предоставить простой способ сделать это. Но если вы включите DoH, обязательно выясните, кто будет заниматься разрешением DoH, как они обрабатывают ваши данные и можете ли вы легко отключить его, когда вам нужно.