DNS-over-HTTPS и риски для персональных данных — обсуждаем мнения экспертов

    25 февраля Mozilla сделали DNS-over-HTTPS (DoH) протоколом по умолчанию в своем браузере для всех американских пользователей. В целом ИТ-сообщество встретило это решение положительно, заметив, что шифрование DNS-трафика повысит безопасность в интернете. Но нашлись и те, кто считает иначе, — например, представители интернет-регистратора RIPE.

    В сегодняшнем материале разбираем основные мнения.


    / Unsplash / Muukii

    Небольшой ликбез


    Прежде чем переходить к обзору мнений кратко разберем, как работает DoH и почему его реализация вызывает жаркие споры в ИТ-сообществе.

    Обмен данными между браузером и DNS-сервером происходит в открытом виде. При желании злоумышленник может подслушать этот трафик и проследить, какие ресурсы посещает пользователь. Чтобы решить проблему, протокол DoH инкапсулирует запрос IP-адреса в трафик HTTPS. Затем он поступает специальному серверу, который обрабатывает его при помощи API и генерирует ответ (стр.8):

    :status = 200
       content-type = application/dns-message
       content-length = 61
       cache-control = max-age=3709
    
       <61 bytes represented by the following hex encoding>
       00 00 81 80 00 01 00 01  00 00 00 00 03 77 77 77
       07 65 78 61 6d 70 6c 65  03 63 6f 6d 00 00 1c 00
       01 c0 0c 00 1c 00 01 00  00 0e 7d 00 10 20 01 0d
       b8 ab cd 00 12 00 01 00  02 00 03 00 04
    

    Таким образом, DNS-трафик скрыт в трафике HTTPS, и запросы к системе доменных имен остаются анонимными.

    Кто поддерживает DoH


    В поддержку DoH высказываются западные облачные провайдеры, телекомы и интернет-провайдеры. Многие из них уже предлагают DNS-сервисы на базе нового протокола — полный список есть на GitHub. Например, в British Telecommunications говорят, что сокрытие DNS-запросов в HTTPS увеличит безопасность британских пользователей.

    Пара материалов из нашего блога на Хабре:


    Год назад DNS-over-HTTPS начали тестировать в Google. Инженеры добавили возможность активировать DoH в Chrome 78. По словам разработчиков, инициатива защитит пользователей от DNS-спуфинга и фарминга, когда хакеры перенаправляют жертву на ложный IP-адрес.
    
В начале материала мы упомянули другого разработчика браузера — Mozilla. На этой неделе компания подключила DNS-over-HTTPS для всех пользователей из США. Теперь при установке браузера новый протокол активируется по умолчанию. Тех, у кого уже есть Firefox, планируют перевести на DoH в ближайшие недели. Другие страны новая инициатива пока обойдет стороной, но желающие могут включить передачу DNS-запросов по HTTPS самостоятельно.

    Аргументы против


    Те, кто выступает против внедрения DoH, говорят, что он снизит безопасность сетевых подключений. Например, Пол Викси (Paul Vixie), один из авторов доменной системы имен, утверждает, что системным администраторам станет сложнее блокировать потенциально вредоносные сайты в корпоративных и частных сетях.

    Выступили против нового протокола и представители интернет-регистратора RIPE, отвечающего за европейский и ближневосточный регионы. Они обратили внимание на проблемы безопасности персональных данных. DoH позволяет передавать информацию о посещаемых ресурсах в зашифрованном виде, но соответствующие логи все равно остаются на сервере, отвечающем за обработку DNS-запросов с помощью API. Здесь встает вопрос доверия к разработчику браузера.

    Сотрудник RIPE Берт Хуберт (Bert Hubert), который участвовал в разработке PowerDNS, говорит, что классический подход DNS-over-UDP предоставляет большую анонимность, так как смешивает все запросы к системе доменных имен из одной сети (домашней или публичной). В этом случае сопоставить отдельные запросы с конкретными компьютерами становится сложнее.


    / Unsplash / chris panas

    К недостаткам DoH некоторые эксперты также относят невозможность настроить родительский контроль в браузерах и сложности с оптимизацией трафика в CDN-сетях. В последнем случае может вырасти задержка до начала передачи контента, так как резолвер будет искать адрес хоста, ближайшего к серверу DNS-over-HTTPS. Здесь стоит отметить, что ряд ИТ-компаний уже работает над решением этих сложностей. Например, в той же Mozilla рассказали, что Firefox будет автоматически отключать DoH, если пользователь настроит правила родительского контроля. И компания планирует продолжить работу над более совершенными инструментами в будущем.

    О чем мы пишем в корпоративном блоге VAS Experts:

    VAS Experts
    Разработчик платформы глубокого анализа трафика

    Комментарии 50

      +3

      Что мешает корпоративным пользователям запретить днс по хттпс? Это надумано мне кажется, тем более это все будет отключаемо в корпоративном сегменте. Это больше надо частным лицам, а то слишком много любопытных и запретителей 3000 развелось

        –1
        простой пример
        есть зоопарк из 1000 машин. там 4 браузера, каждый версий с пяток
        КАК его отключить, если он для всех за пределами хоста является обычным хттпс
          +3

          Корпоративный сегмент диктует свои правила, зачем 4 браузера? Обычно ставится корпоративная мозилла и все накатывается политикой. Зоопарк надо вычищать

            +1
            бизнес ферст. если им удобно работать с зоопарком, ит подстраиватется;
              0

              Значит для данного бизнеса это не является проблемой.

                +3
                Вот только надо различать реальные потребности бизнеса от глупых хотелок пользователей.
                Я могу себе представить только один кейс, когда действительно нужно иметь 4 браузера: это веб-разработчики. У Вас 1000 человек вебдевов?
                Зато у бизнеса есть такие непонятные рядовым работникам вещи, как конфиденциальность коммерческой информации, непрерывность бизнеса и ряд других. И унификация конфигураций рабочих мест, как и различные запреты — один из способов добиться этих целей. Все эти ограничения нужны отнюдь не для того, чтобы ЧСВ сисадминов потешить, как многие думают.
                  –1

                  Вот вам второй кейс — куча легаси приложений, часть из которых работает только в IE, а их замена экономически невыгодна. А ещё бывают такие, которые работают только в chrome или только в FF (таких сильно меньше, но и они есть).


                  Ну то есть 2 браузера это вполне норма.

                    +1
                    Ну два — это всё же не четыре :)
                    Тем более что и IE, и Chrome замечательно рулятся политиками. С мозиллой было как-то похуже, но я давно не следил за этой темой, возможно улучшили управляемость с тех пор.
                      0
                      mac/windows/linux
                      какими политиками это рулить?

                      нет, сократить ОС нельзя,
                      нет заставить всех сидеть на хроме/мозиле/нетскейпе тоже нельзя, ибо
                      а) многие выбирают наиболее эффективные браузеры под себя (у меня рабочих 2, еще 2 под спец задачи, и иногда в виртуалке ие приходится запускать)
                      б) уйдут нахрен (да эта проблема тоже есть)
                        +1
                        Зависит от потребностей бизнеса.

                        Если речь идёт об IT-сфере — то да, ограничивать сложно, потому что у айтишников своя система ценностей и всё равно попытаются обойти. Хотя я лично был свидетелем, когда особо умный программер в банке воткнул в свою машину, подключенную к внутреннему сегменту АБС, usb-свисток «потому что так было удобнее». И был нещадно отымет титановым ломом, потому что удобство удобством, но вряд ли Вы захотели бы хранить деньги в банке, в котором хост банковской сети торчит голой ж… й в интернет.

                        В любой же не-айтишной области, где компьютер является просто инструментом, а не самоцелью — никаких «сократить ОС нельзя» и «выбирать эффективный браузер» не может быть. Утверждённая конфигурация рабочего места, утверждённый список софта, любые исключения — только через согласования руководства включая CIO/CSO/CTO.
                          0
                          Тем не менее накатывать политики в линуксе дорого, как и ввод его в домен. Дешевле костылями
                    0
                    по браузерам — понятно что движемся в сторону унификации, но это годы, если не ломать текущее

                    тут гораздо интереснее вопросы — все локальные ресурсы при doh пойдут лесом :-) так что все равно придется это все решать тем или иным способом
                +1
                У Firefox для этого есть политики, а также canary-домен — если браузер увидит соответствующий ответ от DNS-сервера, то не включит DoH автоматически.
                  0
                  в корпоративном сегменте расшифровывать весь HTTPS является не такой уж и редкой практикой.
                    0
                    Пока не можем, легал сказал что повесит всех за фибирже если мы заикаемся об этом. Как раз пользовательский трафик.
                    Серверная ферма — все хорошо, хоть обрасшифровывайся
                  +1
                  Это больше надо частным лицам
                  С другой стороны, это приведёт к централизации. Google и Cloudflare будут иметь 95% DNS-трафика, в этом нет ничего хорошего. Сейчас DNS поднимается у провайдеров и передаётся клиентам по DHCP/PPPoE, а свой DoH провайдер так передать не может. Поэтому провайдерам интернета нет смысла поднимать свои DoH-сервера.
                    0
                    Firefox поддерживает не только Cloudflare и этот список будет расширяться. Хотя, конечно, если что-то (Cloudflare) выбрано по умолчанию, то оно и будет использоваться большинством.
                      +1
                      А провайдерам DoH особо и не интересен. Между клиентом и DNS серверов провайдера обычно только железо провайдера, так что перехватывать некому.
                      Это вот когда хочешь воспользоваться сторонним DNS сервером, то эти самые провайдеры лезут не в своё дело, перехватывают траффик, блокируют часть сайтов. Так что их проблемы меня как-то слабо волнуют.
                      0

                      Того же мнения.
                      Всем клиентам ставим энтерпрайз браузер — рулится политикой, свой DNS сервер, весь трафик проксируем и заворачиваем на какой нибудь Palo Alto.

                      –2
                      По мне так давно было пора это сделать. Закрыли серьёзнейшую дыру в сетевой безопасности. Вот бы ещё в каждом браузере Firefox по умолчанию поднимали выходную ноду Tor и что-то для улучшения работы i2p.
                        +1
                        Спасибо, нам одного Димы Богатова хватило. Поднятие выходной ноды должно быть осознанным решением пользователя, и никак иначе.

                        Firefox и так теряет позиции на рынке, представьте, какой отток оставшихся будет, как только выйдет новость о том, что использование Firefox с настройками по умолчанию подвергает пользователя риску заполучить полицейский рейд и изъятие техники (это в лучшем случае, как было в Европе, а в худшем — ещё и посидеть, как в России).

                        Мне бы не хотелось 3 месяца провести в СИЗО, а потом ещё полгода под домашним арестом, даже зная, что в итоге меня освободят.
                          –1

                          Для этого нужно договариваться разработчикам разных браузеров и выкатывать фичу одновременно. Когда выходных нод мало, можно прессовать. Когда их будет больше, чем активных юзеров тора, будут в каждом ПК, телефоне и телевизоре — запарятся.

                            0
                            Любой желающий и так может без проблем поднять у себя выходную ноду. Те, кто так не сделал до сих пор, либо вообще не в курсе что такое Тор, либо сознательно не желают поднимать на своём компьютере ноду. Ни тем, ни другим предложенная вами фича не нужна.
                            Вообще ваше предложение напоминает методы распространения Амиго и Яндекс.Бара.
                        0

                        Идея о безопасности с позиции HTTPS подразумевает централизацию управления и контроля за чувствительной информацией. Владельцы такой инфраструктуры становятся слишком влиятельны.

                          0

                          Особенно если вспомнить как cloudflare забанили у себя сайт, который им неугоден был.

                          0
                          Фу какая куцая статья.
                          Сравнение вариантов шифрованного ДНС: dnscrypt.info/faq (с позиции dnscrypt)
                          Если всё-таки не хочется ставить дополнительное ПО: www.privacytools.io/providers/dns
                            0
                            с позиции dnscrypt
                            С весьма пристрастной позиции, что совершенно не красит разработчика. Например, полностью проигнорировано то, что трафик DNSCrypt имеет весьма характерные сигнатуры, благодаря чему намного проще обнаруживается и блокируется, чем DoH. Зато это позволяет нарисовать красивую, пусть и ложную, картинку.
                            0

                            Таки RIPE или всё же RIPE NCC? В RIPE нет сотрудников, они есть в RIPE NCC.

                              0

                              Yandex браузер упорно игнорит все настройки (и через config: и через ярлык), Лиса и Гуглхром завелись сразу.

                                0
                                Вообще то в Опере это уже есть, я спокойно подключился к google DNS и выхожу на rutracker и telegram как будто они и не были блокированы вовсе… Задержка, даже не знаю как описать, иногда что то вроде есть. Тут еще блокировщик рекламы и без нее то легче всё на порядки грузится
                                  +2

                                  Я правильно понимаю, что Firefox в перспективе будет игнорировать resolv.conf? А hosts? Часто провайдеры на своих днс держат внутренние локальные зоны, получается, в перспективе надо искать другие решения. Родительский контроль от Яндекс и ему подобные тоже в пролете.
                                  Надо подумать, пока звучит как костыль, ломающий слишком много. Я за приватность, но тут как будто под ширмой приватности перетягивание одеяла на себя.

                                    0
                                    Локальные зоны у провайдеров? А зачем? ЛК абонента можно и в публичном пространстве держать.
                                    Корпоративный сегмент может поднять свой DoH сервер, лиса, судя по документации, позволяет вписывать кастомные support.mozilla.org/en-US/kb/firefox-dns-over-https#w_switching-providers
                                      0

                                      Зачем локальная зона у провайдера?
                                      А как же retracker.local? ;)

                                        +1
                                        А у кого из массовых провайдеров он вообще работает?
                                          0

                                          Не уверен, что работает сейчас, но раньше работало, а сейчас успешно ресолвится у Билайн'а в Москве при проводном подключении.

                                            0
                                            У ростелекома работал, когда я интересовался этим
                                        +1

                                        В целом опция полезна ибо если всё настроить через cloudflare и изменить 4 настройки в about:config то имеем:


                                        image


                                        И если сайт включил поддержку ESNI (например рутрекер) то заходим на него безо всяких vpn несмотря на блокировку по DPI !


                                        Для параноиков — не нравится DoH — включите DoT (правда в firefox нет такой опции — придётся сторонней пользоваться например stubby), не нравится что через cloudflare — можно и другие сервера будет использовать).

                                          0
                                          Почему-то на моём провайдере даже с включённым esni на рутрекер зайти не могу.
                                          СОединение разрывается с ошибкой: PR_CONNECT_RESET_ERROR
                                            0

                                            Точно включена esni ?


                                            https://www.cloudflare.com/ssl/encrypted-sni/


                                            Здесь проверяли ?

                                              +1
                                              Да, тест прохожу, но рутрекер не открывается.
                                                +1

                                                Может ваш провайдер блокирует рутрекер в дополнении к DPI ещё и по IP ?

                                                  0
                                                  Возможно.
                                        0
                                        и сложности с оптимизацией трафика в CDN-сетях
                                        А что мешает передавать с запросом код региона пользователя чтобы выдать ближайший сервер?
                                          0

                                          Для домашнего использования очень серьёзно DoH будет серьёзно мешать блокировке всякого мусора на уровне DNS.


                                          По-хорошему нужна возможность передавать IP адрес DoH в DHCP options.

                                            0
                                            Так ведь можно (теоритически) и свой DoH прокси сервер поднять со своими правилами.

                                            Как использовать DHCP options (по-крайней мере не во встроенных системах) отдается на откуп софту. Ничто не мешает (опять же теоритически) переписать его на попытку подключиться к DNS сначала по DoH, DoT или вообще без шифрования.
                                            –1
                                            vitus-wagner.dreamwidth.org/2144330.html хорошо описал опасности и проблемы и с DNS-over-HTTPS и, в добавок, выдачу миллиардов сертификатов Let's Encrypt-ом. Обе новости крайне плохи в вопросе безопасности и приватности.
                                              +1
                                              HTTPS вместо HTTP, это значит прощай кэширующие прокси, прощай антивирусы и баннерорезалки на роутерах.

                                              А также прощай баннеры по HTTP и просмотр вашего трафика провайдером.


                                              Зато доверем каким-то хренам с горы в Cloudflare.

                                              Хотя бы это похоже на правду.


                                              В общем то, данная инфраструктура — это палка о двух концах. И браузер нагло и беспринципно лезет за пределы своих обязанностей. Поэтому последнее время он всё меньше отличается от того же Google Chrome и я уже подумываю приостановить ежемесячные донаты в пользу Mozilla, ибо они уже офигели делать браузер хуже.

                                              0
                                              В корпоративной сети можно настроить прокси-DNS и фильтровать там опасные/нежелательные сайты, а заодно смешивать запросы с разных компов.

                                              Также существуют корпоративные/детские блокировщики в браузерах.
                                                0
                                                А толку когда бровзер в дефолте по хттпс лезет к своим ДНС а не к прописанным в системе?
                                                +1
                                                классический подход DNS-over-UDP предоставляет большую анонимность, так как смешивает все запросы к системе доменных имен из одной сети

                                                Аргумент. Ну и IPv6 тогда уж свернуть заодно.

                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                Самое читаемое