Разработчики Mozilla сообщили, что тестирование протокола DNS-over-HTTPS (DoH) не выявило проблем, и до конца этого месяца протокол будет включен по умолчанию основной версии Firefox (сначала для американских пользователей, а затем, постепенно и для более широкой аудитории).
Работы над DoH (IETF RFC8484) длятся с 2017 года, а его тестирование началось в 2018 году. В настоящее время более 70 000 пользователей уже включили DoH в своих браузерах. Напомню, что вся суть нового протокола отражена в его названии: он отправляет DNS-запросы на специальные DoH-совместимые DNS-серверы через зашифрованное соединение HTTPS, но не использует классические незашифрованные UDP-запросы. По умолчанию Firefox поддерживает ретрансляцию зашифрованных DoH-запросов через резолвер Cloudflare, но пользователи могут изменить его на любой другой. Кроме того, DoH работает на уровне приложений, а не на уровне ОС. По сути, он скрывает DNS-запросы внутри обычного потока HTTPS-данных.
В итоге запросы DNS оказываются «невидимы» для сторонних наблюдателей (таких как интернет-провайдеры, локальные решения для родительского контроля, антивирусное ПО, корпоративные брандмауэры и так далее) и коммуникации DoH DNS практически неотличимы от другого HTTPS-трафика.
И хотя защитники конфиденциальности одобряют происходящее, Mozilla уже подвергалась критике из-за внедрения поддержки DoH в свой браузер. Летом текущего года Британская ассоциация интернет-провайдеров (The Internet Services Providers Association, ISPA) из-за этого даже предложила назвать организацию Mozilla «интернет-злодеем года». В ISPA утверждали, что из-за поддержки DoH станет возможным обход правительственных фильтров и систем родительского контроля, что подорвет стандарты интернет-безопасности во всей Великобритании. Тогда разработчики ответили, что просто не станут включать поддержку DoH по умолчанию для пользователей из Великобритании.
Как стало известно теперь, после включения DoH по умолчанию для пользователей из США Firefox будет автоматически обнаруживать любые средства родительского контроля или корпоративные конфигурации. Если таковые найдены, браузер автоматически отключит DoH, чтобы Firefox не обходил защитные решения и корпоративные фильтры, которые используются для обеспечения безопасности пользователей.
Кроме того, в сотрудничестве с интернет-провайдерами и поставщиками сетевых решений для родительского контроля было принято решение предоставить им инструмент для борьбы с обходом блокировок. Они смогут использовать для этого своего рода «домен канарейки» (по аналогии со «свидетельством канарейки»). Этот домен они смогут внести в свои списки блокировок. Когда и если Firefox обнаружит, что этот домен заблокирован, браузер отключит DoH, чтобы предотвратить использование этой функции для обхода фильтров.
Читайте также
Последние новости