Wielkie firmy, takie jak Microsoft, Google oraz Mozilla, wprowadziły technologię znaną jako DNS przez HTTPS (DoH). Rozwiązanie to ma na celu szyfrowanie zapytań DNS, co znacząco zwiększa prywatność oraz bezpieczeństwo użytkowników w sieci. Temat ten budzi jednak kontrowersje, o czym świadczy lobbing Comcast przeciwko tej technologii. Oto kluczowe informacje na ten temat.
Czym jest DNS przez HTTPS?
Współczesna sieć dąży do pełnego szyfrowania. W dzisiejszych czasach większość stron internetowych, które odwiedzasz, korzysta z protokołu HTTPS. Przeglądarki, takie jak Chrome, oznaczają witryny używające protokołu HTTP jako „niezabezpieczone”. Nowa wersja protokołu HTTP, czyli HTTP/3, wprowadza wbudowane szyfrowanie.
To szyfrowanie chroni użytkowników przed manipulacją strony internetowej i śledzeniem ich działań w sieci. Na przykład, gdy odwiedzasz Wikipedia.org, operator sieci, niezależnie od tego, czy korzystasz z publicznego Wi-Fi, czy swojego dostawcy usług internetowych, widzi jedynie, że łączysz się z wikipedia.org. Nie mają jednak wglądu w to, jaki artykuł przeglądasz, ani nie mogą wprowadzać w nim zmian w trakcie przesyłania.
Niestety, proces szyfrowania DNS nie nadąża za tymi zmianami. System nazw domen pozwala na łączenie się ze stronami internetowymi przy użyciu ich nazw domen, zamiast adresów IP. Na przykład, po wpisaniu google.com, Twój komputer wysyła zapytanie do serwera DNS, aby uzyskać odpowiadający adres IP, a następnie łączy się z tym adresem.
Dotychczas te zapytania DNS nie były szyfrowane. Kiedy łączysz się z witryną, Twój system wysyła zapytanie dotyczące adresu IP związane z daną domeną. Każdy pośrednik, w tym Twój dostawca usług internetowych lub publiczny operator Wi-Fi, może rejestrować, z jakimi domenami się łączysz.
DNS przez HTTPS rozwiązuje ten problem. Dzięki tej technologii Twój system nawiązuje bezpieczne, szyfrowane połączenie z serwerem DNS, a zapytania oraz odpowiedzi są przesyłane przez to połączenie. Nikt pomiędzy nie ma możliwości podglądania, jakie nazwy domen są wyszukiwane ani modyfikowania odpowiedzi.
Większość użytkowników korzysta z serwerów DNS oferowanych przez swojego dostawcę internetowego, jednak istnieje wiele niezależnych serwerów DNS, takich jak Cloudflare 1.1.1.1, Publiczny DNS Google oraz OpenDNS. Operatorzy ci jako pierwsi wprowadzili wsparcie dla DoH. Aby korzystać z DNS przez HTTPS, potrzebujesz zarówno serwera DNS, jak i klienta, który obsługuje tę technologię, takiego jak przeglądarka internetowa czy system operacyjny.
Kto to wspiera?
Google oraz Mozilla już testują DNS przez HTTPS w swoich przeglądarkach, Chrome oraz Firefox. 17 listopada 2019 roku Microsoft ogłosił, że wdroży DoH do systemu Windows, co zapewni, że wszystkie aplikacje w tym systemie będą mogły korzystać z tej technologii bez konieczności jej ręcznego dodawania.
Google zapowiedział, że do wersji Chrome 79, planowanej na 10 grudnia 2019 roku, DoH zostanie domyślnie włączone dla 1% użytkowników. Po wydaniu tej wersji użytkownicy będą mogli aktywować tę funkcję poprzez przejście do chrome://flags/#dns-over-https.
Mozilla zapowiedziała, że w 2019 roku włączy DoH dla wszystkich użytkowników. Obecnie w stabilnej wersji Firefoksa można to znaleźć w menu> Opcje> Ogólne, przewijając w dół do sekcji „Ustawienia” w Ustawieniach sieci, aby aktywować opcję „Włącz DNS przez HTTPS”.
Choć Apple jeszcze nie ogłosiło swoich planów dotyczących DNS przez HTTPS, można się spodziewać, że firma również zacznie wdrażać wsparcie tej technologii w systemach iOS oraz macOS, idąc w ślad za trendami w branży.
Obecnie DoH nie jest domyślnie włączone dla wszystkich użytkowników, ale technologia ta ma potencjał, aby uczynić korzystanie z Internetu bardziej prywatnym i bezpiecznym.
Dlaczego Comcast sprzeciwia się tej technologii?
Na pierwszy rzut oka temat ten nie wydaje się kontrowersyjny, jednak w rzeczywistości tak jest. Comcast lobbował w Kongresie, aby powstrzymać Google przed wdrożeniem DNS przez HTTPS.
W prezentacji skierowanej do ustawodawców, którą zdobył Motherboard, Comcast argumentował, że Google ma „jednostronne plany” (wraz z Mozillą) dotyczące wprowadzenia DoH, co miało prowadzić do „centralizacji” większości danych DNS w rękach Google, co z kolei zmienia charakter zdecentralizowanej architektury Internetu.
Wiele z tych twierdzeń jest w rzeczywistości mylących. Marshell Erwin z Mozilli stwierdził, że „prezentowane materiały są wyjątkowo mylące i niedokładne”. W poście na blogu Kenji Beaheux, menedżer produktu Chrome, podkreślił, że Google Chrome nie zmusi nikogo do zmiany dostawcy DNS. Przeglądarka będzie korzystać z domyślnego dostawcy DNS, a jeśli nie obsługuje DoH, pozostanie przy tradycyjnym rozwiązaniu.
Microsoft ogłosił plany wprowadzenia DoH na poziomie systemu operacyjnego Windows. Gdy Microsoft, Google oraz Mozilla przyjmą tę technologię, nie będzie to „jednostronny” projekt Google.
Niektórzy sugerują, że Comcast sprzeciwia się DoH, ponieważ uniemożliwia to gromadzenie danych o wyszukiwaniach DNS. Mimo to Comcast zapewnił, że nie będzie śledzić zapytań DNS użytkowników. Firma twierdzi, że obsługuje zaszyfrowany DNS, ale woli „wspólne, ogólnobranżowe rozwiązanie” zamiast „działań jednostronnych”. Komunikaty Comcast są nieco chaotyczne, a ich argumenty przeciwko DoH wydają się bardziej skierowane do prawodawców niż do opinii publicznej.
Jak funkcjonuje DNS przez HTTPS?
Pomijając kontrowersje związane z Comcast, warto przyjrzeć się, jak technologia DNS przez HTTPS będzie działać. Po wdrożeniu DoH w Chrome, przeglądarka będzie korzystać z tej technologii tylko wtedy, gdy aktualny serwer DNS ją obsługuje.
Oznacza to, że jeśli Twoim dostawcą usług internetowych jest Comcast i nie obsługuje on DoH, Chrome będzie działać tak jak dotychczas, bez szyfrowania zapytań DNS. Jeśli natomiast skonfigurujesz inny serwer DNS, na przykład Cloudflare DNS, Google Public DNS lub OpenDNS, a Twój dostawca usług internetowych wspiera DoH, Chrome automatycznie zaktualizuje połączenie, aby korzystać z szyfrowania. Użytkownicy mogą zdecydować się na rezygnację z dostawców, którzy nie oferują DoH, jak Comcast, ale Chrome nie zrobi tego automatycznie.
To również oznacza, że żadne rozwiązania filtrujące zawartość, które korzystają z DNS, nie zostaną zakłócone. Na przykład, jeśli używasz OpenDNS do blokowania niektórych witryn, Chrome pozostawi OpenDNS jako domyślny serwer DNS i nic się nie zmieni.
Firefox działa nieco inaczej. Mozilla wybrała Cloudflare jako domyślnego dostawcę szyfrowanego DNS w USA. Nawet jeśli skonfigurujesz inny serwer DNS, Firefox wyśle Twoje zapytania do serwera DNS Cloudflare 1.1.1.1. Możesz wyłączyć tę funkcję lub użyć innego, niestandardowego dostawcy, ale Cloudflare będzie ustawione jako domyślne.
Microsoft twierdzi, że DNS przez HTTPS w Windows 10 będzie działał podobnie do Chrome. System Windows 10 będzie korzystać z domyślnego serwera DNS i włączy DoH tylko wtedy, gdy ten serwer to obsługuje. Microsoft zapewnia jednak, że użytkownicy i administratorzy będą mieli możliwość łatwego przejścia do ustawień, aby wybrać serwer DNS.
Windows 10 może zasugerować, aby zmienić serwer DNS na taki, który obsługuje DoH, ale Microsoft zapewnia, że nie dokona tej zmiany automatycznie za użytkownika.