Az olyan vállalatok, mint a Microsoft, a Google és a Mozilla, a HTTPS-en keresztüli DNS-t (DoH) fejlesztik. Ez a technológia titkosítja a DNS-kereséseket, javítva az online adatvédelmet és biztonságot. De ez ellentmondásos: A Comcast lobbizik ellene. Íme, amit tudnod kell.
Tartalomjegyzék
Mi az a DNS HTTPS-n keresztül?
A web arra törekszik, hogy alapértelmezés szerint mindent titkosítson. Ezen a ponton az Ön által felkeresett webhelyek többsége valószínűleg HTTPS-titkosítást használ. A modern webböngészők, például a Chrome, a szabványos HTTP-t használó webhelyeket „nem biztonságos”-ként jelölik meg. A HTTP/3, a HTTP protokoll új verziója beépített titkosítással rendelkezik.
Ez a titkosítás biztosítja, hogy senki ne manipulálhassa a weboldalt, miközben Ön megtekinti azt, vagy lesni, mit csinál online. Például, ha csatlakozik a Wikipedia.org oldalhoz, a hálózat üzemeltetője – legyen az egy vállalkozás nyilvános Wi-Fi hotspotja vagy az internetszolgáltató – csak azt láthatja, hogy csatlakozik a wikipedia.org oldalhoz. Nem láthatják, melyik cikket olvassa, és nem módosíthatják a Wikipédia-cikket továbbítás közben.
A titkosítás felé irányuló törekvésben azonban a DNS elmaradt. A domain névrendszer lehetővé teszi, hogy numerikus IP-címek helyett domainnevükön keresztül kapcsolódjon webhelyekhez. Beír egy domain nevet (például google.com), és a rendszer kapcsolatba lép a konfigurált DNS-szerverével, hogy megkapja a google.com-hoz társított IP-címet. Ezután csatlakozik az IP-címhez.
Eddig ezek a DNS-keresések nem voltak titkosítva. Amikor csatlakozik egy webhelyhez, a rendszer elindít egy kérést, amely azt mondja, hogy az adott tartományhoz társított IP-címet keresi. Bárki a kettő között – esetleg az internetszolgáltató, de talán csak egy nyilvános Wi-Fi hotspot naplózási forgalom is – naplózhatja, hogy mely tartományokhoz csatlakozik.
A HTTPS-n keresztüli DNS megszünteti ezt a felügyeletet. Ha a DNS HTTPS-n keresztül történik, a rendszer biztonságos, titkosított kapcsolatot létesít a DNS-kiszolgálóval, és ezen a kapcsolaton keresztül továbbítja a kérést és a választ. Bárki, aki a kettő között van, nem fogja látni, hogy mely domain neveket keresi, és nem fogja tudni módosítani a választ.
Manapság a legtöbb ember az internetszolgáltatója által biztosított DNS-kiszolgálókat használja. Azonban sok harmadik féltől származó DNS-kiszolgáló létezik, mint például Cloudflare 1.1.1.1, Google nyilvános DNS, és OpenDNS. Ezek a külső szolgáltatók az elsők között engedélyezik a DNS szerveroldali támogatását HTTPS-en keresztül. A DNS HTTPS-en keresztüli használatához egyaránt szüksége lesz egy DNS-kiszolgálóra és egy kliensre (például egy webböngészőre vagy operációs rendszerre), amely támogatja azt.
Ki fogja támogatni?
A Google és a Mozilla már teszteli a DNS-t HTTPS-en keresztül a Google Chrome és a Mozilla Firefox böngészőben. 2019. november 17-én A Microsoft bejelentette ez a DNS átvétele HTTPS-en keresztül a Windows hálózati veremben. Ez biztosítja, hogy minden Windows-alkalmazás élvezze a DNS előnyeit a HTTPS-en keresztül anélkül, hogy kifejezetten támogatná azt.
A Google azt mondja alapértelmezés szerint a Chrome 79-es verziótól kezdődően a felhasználók 1%-a számára engedélyezi a DoH-t, várhatóan 2019. december 10-én. Amikor ez a verzió megjelenik, a chrome://flags/#dns-over címre is eljuthat. -https engedélyezéséhez.
Mozilla mondja 2019-ben mindenki számára engedélyezni fogja a DNS-t HTTPS-n keresztül. A Firefox jelenlegi stabil verziójában ma lépjen a Menü > Beállítások > Általános menüpontba, görgessen le, és kattintson a „Beállítások” elemre a Hálózati beállítások alatt, hogy megtalálja ezt a lehetőséget. Aktiválja a „DNS engedélyezése HTTPS-n keresztül” lehetőséget.
Az Apple még nem kommentálta a HTTPS-n keresztüli DNS-re vonatkozó terveket, de arra számítottunk, hogy a vállalat követni fogja és bevezeti a támogatást iOS és macOS rendszerben az iparág többi részével együtt.y
Alapértelmezés szerint még nincs mindenkinél engedélyezve, de a HTTPS-n keresztüli DNS-nek privátabbá és biztonságosabbá kell tennie az internethasználatot, miután befejeződött.
Miért lobbizik ez ellen a Comcast?
Ez eddig nem hangzik túl vitatottan, de ez van. A Comcast láthatóan lobbizott a kongresszuson, hogy megakadályozza a Google-t a DNS HTTPS-en keresztüli bevezetésében.
A törvényhozóknak bemutatott és általa megszerzett előadásban Alaplap, a Comcast azzal érvel, hogy a Google „egyoldalú terveket” folytat („a Mozillával együtt”) a DoH és „[centralize] világméretű DNS-adatok többsége a Google-lal”, ami „alapvető változást jelentene az internet architektúrájának decentralizált természetében”.
Ennek nagy része őszintén szólva hamis. A Mozilla munkatársa, Marshell Erwin a Motherboard-nak elmondta, hogy „a diák összességében rendkívül félrevezető és pontatlan”. Egy blogbejegyzésben Kenji Beaheux Chrome-termékmenedzser rámutat hogy a Google Chrome senkit sem fog DNS-szolgáltató megváltoztatására kényszeríteni. A Chrome engedelmeskedik a rendszer jelenlegi DNS-szolgáltatójának – ha nem támogatja a DNS-t HTTPS-en keresztül, a Chrome nem fogja használni a DNS-t HTTPS-n keresztül.
És az azóta eltelt időben a Microsoft bejelentette, hogy Windows operációs rendszer szintjén támogatja a DoH-t. Mivel a Microsoft, a Google és a Mozilla elfogadja ezt, ez aligha „egyoldalú” séma a Google-tól.
Egyesek úgy gondolják, hogy a Comcast nem szereti a DoH-t, mert már nem tud DNS-keresési adatokat gyűjteni. A Comcast azonban igen igért nem kémkedik a DNS-keresései után. A vállalat ragaszkodik ahhoz, hogy támogatja a titkosított DNS-t, de egy „egyoldalú fellépés” helyett „együttműködésen alapuló, az egész iparágra kiterjedő megoldást” szeretne. A Comcast üzenetei rendetlenek – a HTTPS-en keresztüli DNS-sel szembeni érveit egyértelműen a törvényhozók szemének szánták, nem a nyilvánosságot.
Hogyan fog működni a DNS HTTPS-en keresztül?
A Comcast furcsa ellenvetéseit félretéve, nézzük meg, hogyan is működik a HTTPS-en keresztüli DNS valójában. Amikor a DoH-támogatás életbe lép a Chrome-ban, a Chrome csak akkor használja a DNS-t HTTPS-en keresztül, ha a rendszer jelenlegi DNS-szervere támogatja azt.
Más szóval, ha a Comcast internetszolgáltató, és a Comcast megtagadja a DoH támogatását, a Chrome úgy fog működni, mint ma, anélkül, hogy titkosítja a DNS-kereséseket. Ha másik DNS-szerver van konfigurálva – esetleg a Cloudflare DNS-t, a Google Public DNS-t vagy az OpenDNS-t választotta, vagy esetleg az internetszolgáltató DNS-szerverei támogatják a DoH-t –, a Chrome titkosítást használ a jelenlegi DNS-szerverrel való kommunikációhoz, és automatikusan „frissíti” a kapcsolat. A felhasználók dönthetnek úgy, hogy eltérnek azoktól a DNS-szolgáltatóktól, amelyek nem kínálnak DoH-t – például a Comcasté –, de a Chrome ezt nem teszi meg automatikusan.
Ez azt is jelenti, hogy a DNS-t használó tartalomszűrő megoldások nem szakadnak meg. Ha OpenDNS-t használ, és bizonyos webhelyeket blokkolásra állít be, a Chrome az OpenDNS-t hagyja alapértelmezett DNS-kiszolgálóként, és semmi sem fog változni.
A Firefox egy kicsit másképp működik. A Mozilla a Cloudflare mellett döntött, mint a Firefox titkosított DNS-szolgáltatója az Egyesült Államokban. Még akkor is, ha másik DNS-kiszolgáló van beállítva, a Firefox elküldi a DNS-kérelmeit a Cloudflare 1.1.1.1-es DNS-kiszolgálójának. A Firefox lehetővé teszi ennek letiltását, vagy egyéni titkosított DNS-szolgáltató használatát, de a Cloudflare lesz az alapértelmezett.
A Microsoft szerint a HTTPS-n keresztüli DNS a Windows 10 rendszerben a Chrome-hoz hasonlóan fog működni. A Windows 10 engedelmeskedik az alapértelmezett DNS-kiszolgálónak, és csak akkor engedélyezi a DoH-t, ha a választott DNS-kiszolgáló támogatja azt. A Microsoft azonban azt állítja, hogy el fogja vezetni a „adatvédelmi gondolkodású Windows-felhasználókat és rendszergazdákat” a DNS-kiszolgáló beállításaihoz.
A Windows 10 arra ösztönözheti, hogy a DNS-kiszolgálókat olyanra váltsa, amely védett a DoH-val, de a Microsoft szerint a Windows nem fogja átállítani az Ön helyett.