Источник: Cloudflare
Mozilla выпустила FAQ, посвященный функции DoH (DNS-over-HTTPS), в котором разобрала ряд вопросов. В том числе компания объяснила условия сотрудничества с Cloudflare. Mozilla утверждает, что не получала денег от Cloudlfare, к которой перенаправляется большая часть ее DoH-трафика.
Mozilla постепенно вводит функцию DNS-over-HTTPS для пользователей Firefox в США. Для нахождения адреса интернет-ресурса нужно отправить запрос DNS, который идёт без шифрования и какой-либо защиты данных от подмены. Когда Firefox открывает современный сайт, таких запросов нужно выполнять много. Стандарт DoH «оборачивает» запросы DNS в протокол HTTPS, увеличивая защищенность и конфиденциальность данных. При этом запрос маскируется под обычный HTTPS-трафик. Благодаря этому запрос DoH не видят, не могут подменять и анализировать интернет-провайдеры, корпоративные брандмауэры, функции родительского контроля и антивирусы.
В качестве дефолтного резолвера (распознавателя) DNS-over-HTTPS Mozilla выбрала резолвер Cloudlfare. Разработчик Firefox мотивирует свой выбор тем, что только предложение Cloudflare на данный момент удовлетворяет требованиям безопасности.
Cloudflare — американская компания, которая предоставляет услуги защиту от DDoS-атак, CDN, сервера DNS и безопасный доступ к ресурсам. В этом сегменте она одна из самых крупных, вместе с Cloudflare DoH предоставляют Google, Cleanbrowsing, Quad9 и еще ряд провайдеров.
Со стороны людей с левыми политическими взглядами компания подвергалась критике за выбор клиентов: Cloudflare ранее сотрудничал с хакерской группой LulzSec, имиджбордой 8chan, и изданием ультраправого толка The Daily Stormer.
Хакеры из LulzSec пользовались защитой Cloudflare от DDoS’а — в числе их жертв числятся Fox News, PBS, Sony Entertainment, американский Сенат, сайт ЦРУ, ряд силовых ведомств США. По большей части хакеры LulzSec занимались тем, что взламывали сайты и воровали с них личную информацию пользователей, либо, как в случае с сайтом ЦРУ, выводили страницы из строя.
Имиджборда 8chan, как и многие другие, отличается минимальной модерацией со стороны администрации и связывается в американском обществе с расистами, нео-нацистами, антисемитами и прочими осуждаемыми группами. Отдельное внимание 8chan получил после массового убийства прихожан мечетей в новозеландском городе Крайстчерч — вероятный убийца Брент Таррант разместил на 8chan ссылки на свой манифест.
Cloudflare обслуживал ультраправое издание The Daily Stormer до 2017 года. Компания отказывалась разорвать отношения с The Daily Stormer под давлением общества, но все же прекратила поставку услуг, когда на сайте TDS появилось заявление, что боссы Cloudflare тайно поддерживают правую идеологию. В преддверии выхода на IPO Cloudfare перестала сотрудничать с большинством своих «политически окрашенных» клиентов, которые теперь доступны чере�� .onion.
Тех, кого не волнуют прежние контакты Cloudfare, может испугать тот факт, что все запросы DNS от пользователей Firefox будет обслуживать одна компания. В такой ситуации следить за пользователями или таргетировать рекламу сможет тот, кто завладеет информацией уже от Cloudfare.
Источник: Vice
Сотрудничество Mozilla с Cloudflare неминуемо вызвало критику. Недовольны были не только простые юзеры, наслышанные о репутации Cloudflare. Vice опубликовал разбор попавших к ним в руки документов, из которых следует, что против DoH выступают политики, спонсируемые интернет-провайдерами. В документе речь идет в первую очередь о Google. Нанятые одним из крупнейших американских провайдеров Comcast лоббисты пытаются убедить власти, что интернет-гигант создает себе монополию. Google якобы централизует DNS с помощью DoH. Авторы статьи на Vice уверены, что главная цель этой акции — сохранить для провайдеров доступ к запросам пользователей и историям их браузера. Хотя основной объект атаки — Google, в документе упоминается и Mozilla с ее планами по развитию DoH.
Поэтому Mozilla выпустила такой FAQ. Отдельно в нём отмечается, что протокол DNS-over-HTTPS не будут включать насильно: браузер спросит у пользователя, хочет ли он воспользоваться DoH. Также в FAQ описано взаимодействие с родительским контролем. Перед включением DoH Firefox проверяет серию canary-доменов. Если эти домены указывают, что родительский контроль включен, то DoH отключается.
Источник: Mozilla
Mozilla поясняет, что компания не монетизирует трафик к DoH-резолверам Cloudflare. Более того, компания уверяет, что и сама ни в коем случае не собирается монетизировать поступившие от пользователей данные.
Mozilla отмечает, что Cloudflare — не единственный поставщик услуг, с которым она собираются работать. Сейчас компания обдумывает, каких еще поставщиков включить в свою программу Trusted Recursive Resolver, а в будущем надеется, что DoH будут на должном уровне поддерживать все DNS-резолверы. Mozilla также поясняет, что функция DoH не будет распространяться на Европу и останется уникальной для пользователей из США.
В отличие от Mozilla, которая тестирует DoH с 2017 года, Google начал работать в этом направлении только в мае 2019 года. Google планировал запустить DoH в тестовом режиме в своем Chrome 78, но в последний момент отложил старт до версии 79, которая должна выйти в декабре 2019 года. Компания сообщила, что для перенаправления DNS-запросов пользователей она будет пользоваться DoH-резолверами шести провайдеров: Cleanbrowsing, DNS.SB, Google, OpenDNS, Quad9 и упомянутый Cloudflare.
