Diverse companii, precum Microsoft, Google și Mozilla, promovează implementarea DNS prin HTTPS (DoH). Această tehnologie are ca scop criptarea interogărilor DNS, ceea ce va conduce la o protecție sporită a confidențialității și securității online. Cu toate acestea, subiectul este controversat, Comcast exercitând presiuni împotriva adoptării acestei tehnologii. Iată detaliile esențiale pe care trebuie să le cunoașteți.
Ce presupune DNS prin HTTPS?
Internetul tinde să cripteze totul în mod implicit. În prezent, majoritatea site-urilor web accesate folosesc criptarea HTTPS. Browser-ele moderne, precum Chrome, marchează site-urile care utilizează protocolul HTTP standard ca fiind „nesecurizate”. HTTP/3, noua versiune a protocolului HTTP, vine cu criptarea integrată.
Această criptare asigură că nimeni nu poate modifica o pagină web în timpul vizualizării și nici nu poate monitoriza activitatea online. De exemplu, dacă vă conectați la Wikipedia.org, operatorul de rețea (fie că este vorba de un hotspot Wi-Fi public sau de furnizorul de servicii de internet) va observa doar că sunteți conectat la wikipedia.org. Nu va putea vedea ce articole citiți și nici nu va putea schimba conținutul unui articol Wikipedia în tranzit.
În ciuda avansului criptării, DNS a rămas în urmă. Sistemul de nume de domeniu (DNS) facilitează accesarea site-urilor web prin numele lor, în loc de adrese IP numerice. Atunci când introduceți un nume de domeniu, cum ar fi google.com, sistemul contactează serverul DNS configurat pentru a obține adresa IP asociată. Apoi, se va conecta la acea adresă IP.
Până în prezent, căutările DNS nu erau criptate. Când vă conectați la un site web, sistemul trimite o cerere în care se specifică faptul că se caută adresa IP a domeniului respectiv. Oricine se află pe parcurs – inclusiv furnizorul de servicii de internet sau chiar un observator al traficului dintr-un hotspot Wi-Fi – poate înregistra domeniile pe care le accesați.
DNS prin HTTPS elimină această supraveghere. Cu DNS prin HTTPS, sistemul va realiza o conexiune sigură și criptată cu serverul DNS și va transfera cererea și răspunsul prin această conexiune. În acest mod, nimeni nu va putea observa ce nume de domenii căutați sau să modifice răspunsul.
În mod obișnuit, utilizatorii folosesc serverele DNS furnizate de operatorii de servicii de internet. Cu toate acestea, există numeroase servere DNS terțe, cum ar fi Cloudflare 1.1.1.1, DNS public Google și OpenDNS. Acești furnizori terți se numără printre primii care au activat suportul server pentru DNS prin HTTPS. Pentru a utiliza DNS prin HTTPS, aveți nevoie de un server DNS și de un client (un browser web sau un sistem de operare) care să îl suporte.
Cine va adopta această tehnologie?
Google și Mozilla testează deja DNS prin HTTPS în Google Chrome și Mozilla Firefox. Pe 17 noiembrie 2019, Microsoft a anunțat că va implementa DNS prin HTTPS în infrastructura de rețea Windows. Aceasta va permite oricărei aplicații din Windows să beneficieze de DNS prin HTTPS, fără a fi nevoie de codificare specifică pentru suport.
Conform Google, DoH va fi activat implicit pentru 1% dintre utilizatorii Chrome începând cu versiunea 79, lansată pe 10 decembrie 2019. În versiunea respectivă, se va putea accesa și chrome://flags/#dns-over-https pentru a activa funcția.
Mozilla a anunțat că va activa DNS prin HTTPS pentru toți utilizatorii în 2019. În versiunea stabilă actuală a Firefox, se poate accesa meniul > Opțiuni > General, se derulează în jos și se dă clic pe „Setări” sub „Setări rețea” pentru a găsi opțiunea. Acolo, se poate activa „Activați DNS prin HTTPS”.
Apple nu a comentat încă planurile sale cu privire la DNS prin HTTPS, însă se așteaptă ca și compania să urmărească implementarea suportului în iOS și macOS, urmând tendința industriei.
Deși nu este activată implicit pentru toți utilizatorii, adoptarea DNS prin HTTPS va contribui la o experiență online mai sigură și privată.
De ce se opune Comcast?
Subiectul devine controversat odată cu implicarea Comcast, care a făcut lobby la Congres pentru a împiedica implementarea DNS prin HTTPS de către Google.
Într-o prezentare adresată parlamentarilor, obținută de Motherboard, Comcast afirmă că Google urmărește „planuri unilaterale” (împreună cu Mozilla) pentru a activa DoH și pentru a „centraliza o majoritate a datelor DNS la nivel mondial”, ceea ce ar „marca o schimbare fundamentală în arhitectura descentralizată a internetului”.
O mare parte din aceste afirmații sunt, în esență, false. Marshell Erwin de la Mozilla a afirmat pentru Motherboard că „slide-urile în general sunt extrem de înșelătoare și inexacte”. Într-o postare pe blog, managerul de produs Chrome, Kenji Beaheux, a subliniat că Google Chrome nu va impune nimănui să-și schimbe furnizorul de DNS. Chrome va respecta furnizorul DNS actual al sistemului; dacă acesta nu suportă DNS prin HTTPS, Chrome nu va utiliza această funcție.
De asemenea, Microsoft a anunțat planurile sale de a implementa DoH la nivel de sistem de operare Windows. Astfel, cu Microsoft, Google și Mozilla care susțin această tehnologie, nu mai poate fi vorba de o schemă „unilaterală” din partea Google.
Unii au speculat că Comcast se opune DoH deoarece nu va mai putea colecta date din căutările DNS. Cu toate acestea, Comcast a promis că nu va monitoriza căutările DNS ale utilizatorilor. Compania insistă că susține DNS-ul criptat, dar dorește o „soluție colaborativă, la nivel de industrie”, în loc de o „acțiune unilaterală”. Mesajul Comcast este ambiguu – argumentele sale împotriva DNS prin HTTPS au fost, în mod clar, adresate mai mult parlamentarilor decât publicului larg.
Cum va funcționa DNS prin HTTPS?
Lăsând deoparte obiecțiile ciudate ale Comcast, să analizăm cum va funcționa DNS prin HTTPS. Când suportul DoH va fi disponibil în Chrome, acesta va utiliza DNS prin HTTPS doar dacă serverul DNS actual al sistemului îl suportă.
Altfel spus, dacă utilizați Comcast ca furnizor de servicii de internet și acesta refuză să accepte DoH, Chrome va funcționa ca în prezent, fără a cripta căutările DNS. Dacă aveți configurat un alt server DNS (fie Cloudflare DNS, Google Public DNS, OpenDNS, sau serverele DNS ale ISP-ului dvs. suportă DoH), Chrome va folosi criptarea pentru a comunica cu serverul DNS actual, „actualizând” automat conexiunea. Utilizatorii pot alege să schimbe furnizorul de DNS care nu oferă DoH, precum Comcast, însă Chrome nu va face această schimbare automat.
De asemenea, orice soluție de filtrare a conținutului care utilizează DNS nu va fi afectată. Dacă utilizați OpenDNS și ați configurat anumite site-uri web să fie blocate, Chrome va lăsa OpenDNS ca server DNS implicit și nimic nu se va schimba.
Firefox funcționează diferit. Mozilla a ales Cloudflare ca furnizor DNS criptat pentru Firefox în SUA. Chiar dacă aveți configurat alt server DNS, Firefox va trimite cererile DNS către serverul 1.1.1.1 al Cloudflare. Firefox permite dezactivarea acestei opțiuni sau utilizarea unui furnizor DNS criptat personalizat, dar Cloudflare va fi opțiunea implicită.
Microsoft a menționat că DNS prin HTTPS în Windows 10 va funcționa similar cu Chrome. Windows 10 va respecta serverul DNS implicit și va activa DoH numai dacă serverul DNS ales îl acceptă. Totuși, Microsoft a declarat că va ghida „utilizatorii și administratorii Windows interesați de confidențialitate” către setările serverului DNS.
Windows 10 poate încuraja comutarea serverelor DNS către unele securizate prin DoH, dar Microsoft a precizat că Windows nu va face această schimbare în mod automat.