Использовать DNS через https вместо системных настроек DNS

Обновлено: 04.07.2024

Давайте кратко рассмотрим плюсы и минусы DoH и узнаем, как включить его в вашем любимом браузере.

Что такое DNS?

Устройства обмениваются данными через Интернет, используя уникальные IP-адреса, которые представляют собой строки цифр, разделенные точками, например 172.217.1.174 (в случае IPv4), или строки букв и цифр, разделенные двоеточиями, например 2607:f8b0:400b:809: :200e (IPv6).

(Эти конкретные адреса принадлежат Google.)

Именно здесь на помощь приходит DNS. Система доменных имен – это, по сути, всемирный каталог доменных имен и связанных с ними IP-адресов. Незаметно ваш браузер запрашивает DNS-сервер, который преобразует доменные имена в IP-адреса, понятные вашему компьютеру.

Что не так с обычным DNS?

Основная проблема обычного DNS заключается в том, что запросы передаются по сети в незашифрованном виде, что позволяет шпионам легко узнать, какие сайты вы посещаете.

На приведенном ниже снимке экрана показаны результаты работы популярного инструмента сетевого анализа WireShark, сделанные во время просмотра MUO.

Мы видим, что браузер взаимодействует с IPv6-адресом 2606:4700::6810:f8f9, который принадлежит общедоступной службе DNS Cloudflare. Но сами запросы зашифрованы и выглядят как случайные ненужные данные для любого, кто их перехватывает.

Поскольку технология DoH находится в стадии разработки, ее реализация в каждом браузере немного отличается.

Последние несколько месяцев Google и Mozilla постепенно внедряли эту функцию для пользователей, поэтому, следуя приведенным ниже инструкциям, вы можете обнаружить, что она уже включена.

  1. Нажмите на три вертикальные точки в правом верхнем углу и выберите "Настройки".
  2. Нажмите «Безопасность» под заголовком «Конфиденциальность и безопасность».
  3. Включите параметр «Использовать безопасный DNS» в разделе «Дополнительно».
  4. Оставьте переключатель рядом с выбранным С вашим текущим поставщиком услуг, чтобы использовать вашего текущего поставщика услуг*, или выберите С и выберите один из доступных вариантов.

*Обратите внимание, что большинство провайдеров DNS в настоящее время не поддерживают DoH, поэтому вам не следует полагаться на провайдера по умолчанию, если вы не можете подтвердить, что он поддерживает протокол.

  1. Нажмите на три горизонтальные точки в правом верхнем углу и выберите "Настройки".
  2. Нажмите "Конфиденциальность, поиск и службы" в меню слева.
  3. Прокрутите вниз до заголовка "Безопасность".
  4. Оставьте переключатель Использовать текущего поставщика услуг выбранным, чтобы использовать текущего поставщика услуг, или выберите Выбрать поставщика услуг, чтобы использовать собственный сервер.

Какого провайдера выбрать?

Сейчас наиболее популярны Google и Cloudflare. Если вы предпочитаете их избегать, вы можете обратиться к списку альтернативных поставщиков DoH.

Некоторые ИТ-эксперты критикуют DoH за то, что он затрудняет мониторинг DNS-трафика в законных целях, таких как обнаружение вредоносного ПО или применение родительского контроля.

Компания Google решила некоторые из этих проблем, заявив в своем блоге, что такие элементы управления по-прежнему будут работать с их реализацией DoH, и что организации могут полностью отключить DoH, если это необходимо.

Все сводится к тому, что мы ценим больше: конфиденциальность пользователей или видимость для администраторов. Поскольку основные браузеры планируют в конечном итоге развернуть DoH по умолчанию для всех, похоже, что первый победил в этом случае.

Это не предотвращает все формы отслеживания

DoH шифрует только DNS-запросы, оставляя некоторые другие части вашего веб-трафика уязвимыми для перехвата:

Утечка IP-адресов немного смягчается тем фактом, что несколько сайтов могут сосуществовать с одним и тем же IP-адресом, что затрудняет определение того, какой сайт вы посетили. Есть также основания для оптимизма в отношении SNI, так как будущая технология под названием Encrypted Client Hello (ECH) обещает зашифровать его.

В настоящее время, если вам нужно более надежное решение для обеспечения конфиденциальности, рассмотрите возможность использования VPN или сети Tor.

Возврат к незашифрованному DNS

Еще одна потенциальная проблема возникает, когда провайдер DNS не может разрешить запрос, например, если вы неправильно написали домен.

Что произойдет в этом случае, зависит от конкретной реализации DoH. В настоящее время Chrome использует DNS-сервер вашей системы по умолчанию, который для большинства людей не зашифрован. Это может привести к утечке конфиденциальной информации.

Развивающаяся технология

Несмотря на то, что есть еще некоторые проблемы, которые необходимо устранить, стоит включить DoH в браузере, чтобы помочь защититься от атак типа «злоумышленник посередине» и других нарушений вашей конфиденциальности.

DoH повышает конфиденциальность, скрывая поиск доменных имен от кого-то, кто прячется в общедоступной сети Wi-Fi, от вашего интернет-провайдера или кого-либо еще в вашей локальной сети. DoH, если он включен, гарантирует, что ваш интернет-провайдер не сможет собирать и продавать личную информацию, связанную с вашим поведением в Интернете.

  • Некоторые люди и организации полагаются на DNS для блокировки вредоносного ПО, включения родительского контроля или фильтрации доступа вашего браузера к веб-сайтам. Когда DoH включен, он обходит ваш локальный преобразователь DNS и отменяет эти специальные политики. При включении DoH по умолчанию для пользователей Firefox позволяет пользователям (с помощью настроек) и организациям (с помощью корпоративных политик и поиска в канареечном домене) отключать DoH, когда это мешает предпочтительной политике.
  • Когда DoH включен, Firefox по умолчанию направляет запросы DoH на DNS-серверы, которыми управляет доверенный партнер, который может видеть запросы пользователей. В Mozilla действует строгая политика Trusted Recursive Resolver (TRR), которая запрещает нашим партнерам собирать личную идентифицирующую информацию. Чтобы снизить этот риск, наши партнеры по контракту обязаны соблюдать эту политику.
  • DoH может быть медленнее, чем традиционные DNS-запросы, но при тестировании мы обнаружили, что влияние минимально, и во многих случаях DoH работает быстрее.

Мы завершили развертывание DoH по умолчанию для всех пользователей Firefox для ПК в США в 2019 году и для всех пользователей Firefox для ПК из Канады в 2021 году. Мы начали развертывание по умолчанию для пользователей Firefox для ПК из России и Украины в марте 2022 года. В настоящее время мы работая над развертыванием DoH в большем количестве стран. При этом DoH включается для пользователей в «откатном» режиме. Например, если поиск доменных имен, использующий DoH, по какой-либо причине завершается неудачей, Firefox отступает и использует DNS по умолчанию, настроенный операционной системой (ОС), вместо отображения ошибки.

Кроме того, Firefox проверит определенные функции, которые могут быть затронуты, если включен DoH, в том числе:

  • Включен ли родительский контроль?
  • Фильтрует ли DNS-сервер по умолчанию потенциально вредоносное содержимое?
  • Управляется ли устройство организацией, у которой может быть специальная конфигурация DNS?

Если какой-либо из этих тестов определит, что DoH может мешать работе функции, DoH не будет включен. Эти тесты будут выполняться каждый раз, когда устройство подключается к другой сети.

Вы можете включить или отключить DoH в настройках подключения Firefox:

Вы можете настроить исключения, чтобы Firefox использовал преобразователь вашей ОС вместо DoH:

  1. Введите about:config в адресной строке и нажмите Enter.

Может появиться страница с предупреждением. Нажмите «Принять риск и продолжить», чтобы перейти на страницу about:config.

  1. Выполните поиск network.trr.excluded-domains.
  2. Нажмите кнопку Изменить рядом с параметром.
  3. Добавьте домены, разделенные запятыми, в список и нажмите на галочку, чтобы сохранить изменения.

Эти замечательные люди помогли написать эту статью:

Иллюстрация рук

Волонтер

Расширяйтесь и делитесь своим опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.

Что такое DNS через HTTPS (DoH) и как его включить в Windows 10

Изображение незашифрованного DNS, злоумышленников в той же сети, что и вы, которые могут просматривать, какие веб-сайты вы просматриваете». /><br /></p> <p>Многие веб-браузеры (например, браузеры на основе Firefox и Chrome) также поддерживают DoH, если вы предпочитаете включать его для каждого приложения, а не на уровне ОС. Однако включение DoH в вашей ОС приносит пользу приложениям, которые изначально не поддерживают DoH, предоставляя им эту возможность. Кроме того, поиск DNS традиционно был функцией ОС, а не веб-браузеров.</p> <p>Включение DoH в Windows 10 обеспечивает функциональность для всех пользователей и приложений, запрашивающих поиск DNS, включая все веб-браузеры. Имейте в виду, что Windows 10 должна быть обновлена, чтобы обеспечить доступность функции DoH (сборка 19628 или выше, чтобы включить DoH через редактирование реестра, и сборка 20185 или выше, чтобы включить DoH через меню «Настройки» > «Сеть и Интернет»).</p > <p>Включение DoH в реестре Windows 10</p> <ul> <li>Открыть редактор реестра</li> <li>Перейдите к: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters</li> <li>Создайте новый параметр DWORD с именем «EnableAutoDoh» и значением 2.</li> <li>Перезагрузите хост</li> </ul> <p>Затем вам потребуется изменить основной и альтернативный DNS-серверы вашего сетевого подключения на один из следующих в свойствах вашего адаптера Интернет-протокола версии 4 (TCP/IPv4).</p> <ul> <li>Cloudflare — основной: 1.1.1.1, альтернативный: 1.0.0.1</li> <li>Google – основной: 8.8.8.8, альтернативный: 8.8.4.4</li> <li>Quad9 – основной: 9.9.9.9, альтернативный: 149.112.112.112</li> </ul> <p>Включение DoH через меню «Настройки» Windows 10 > «Сеть и Интернет»</p> <p>Согласно Microsoft: «После того как шифрование включено, вы можете убедиться, что оно работает, просмотрев примененные DNS-серверы в свойствах сети и увидев, что они помечены как серверы (зашифрованные)».</p> <h2>Технологии Stealthbits</h2> <p>ОПРЕДЕЛИТЬ УГРОЗЫ. БЕЗОПАСНЫЕ ДАННЫЕ. СНИЖЕНИЕ РИСКА.</p> <p>Stealthbits Technologies, Inc. – это клиентоориентированная компания, специализирующаяся на разработке программного обеспечения для обеспечения кибербезопасности, которая занимается защитой конфиденциальных данных организации и учетных данных, которые злоумышленники используют для кражи этих данных. Благодаря устранению неправомерного доступа к данным, применению политики безопасности и обнаружению современных угроз наша инновационная и бесконечно гибкая платформа обеспечивает реальную защиту, которая снижает риски безопасности, соответствует требованиям соответствия и снижает эксплуатационные расходы.</p> <p>Дэн Пьяцца (Dan Piazza) — технический менеджер по продуктам в компании Stealthbits, в настоящее время являющейся частью Netwrix. Он отвечает за PAM, аудит файловых систем и решения для аудита конфиденциальных данных. Он работает на технических должностях с 2013 года, увлекаясь кибербезопасностью, защитой данных, автоматизацией и программированием. До своей нынешней должности он работал менеджером по продукту и системным инженером в компании по разработке программного обеспечения для хранения данных, управляя и внедряя как программные, так и аппаратные решения B2B.</p> <p>Несколько экспертов, компаний и национальных организаций выразили очень убедительную озабоченность по поводу DoH и его особенностей.</p> <p>Каталин Чимпану работала корреспондентом ZDNet по безопасности с сентября 2018 г. по февраль 2021 г.</p> <h3>См. также</h3> <p>Если мы прислушаемся к экспертам в области сетей и кибербезопасности, то этот протокол несколько бесполезен и создает больше проблем, чем исправляет, и критика в адрес DoH и тех, кто продвигает его как жизнеспособный метод сохранения конфиденциальности, нарастает.</p> <p>Суть TL;DR заключается в том, что большинство экспертов считают DoH нехорошим, и люди должны сосредоточить свои усилия на внедрении более эффективных способов шифрования трафика DNS, таких как DNS-over-TLS, а не на DoH.</p > <h3>Что такое DoH и краткая история</h3> <p>Сам протокол работает, изменяя принцип работы DNS. До сих пор DNS-запросы выполнялись в виде открытого текста, от приложения к DNS-серверу, с использованием настроек DNS локальной операционной системы, полученных от ее сетевого провайдера (обычно интернет-провайдера (ISP)).</p> <p>Из-за всего вышеперечисленного компании и организации, у которых есть продукты с поддержкой DoH, рекламируют DoH как способ помешать интернет-провайдерам отслеживать веб-трафик пользователей и как способ обойти цензуру в деспотичных странах.</p > <p>Но многие ученые люди говорят, что это ложь. Несколько экспертов в области сетей и кибербезопасности публично раскритиковали некоторые заявления, связанные с DoH, и попытки распространить его практически повсеместно.</p> <p>Они говорят, что DoH — это не волшебное лекарство от конфиденциальности пользователей, которое некоторые компании продвигают в своих маркетинговых усилиях, чтобы повысить свой имидж как организации, которая заботится о конфиденциальности.</p> <p>Эксперты говорят, что эти компании безответственно продвигают недоработанный протокол, который на самом деле не защищает пользователей и создает больше проблем, чем решает, особенно в корпоративном секторе.</p> <p>В некоторых случаях реакция на помазание DoH как основного решения для сохранения конфиденциальности была откровенно едкой. Критики нанесли удар по протоколу на разных равнинах, которые мы попытаемся систематизировать и классифицировать ниже:</p> <ul> <li>DoH на самом деле не препятствует отслеживанию пользователей интернет-провайдерами</li> <li>DoH создает хаос в корпоративном секторе.</li> <li>DoH ослабляет кибербезопасность</li> <li>DoH помогает преступникам</li> <li>DoH не следует рекомендовать диссидентам</li> <li>DoH централизует DNS-трафик на нескольких преобразователях DoH.</li> </ul> <h3>DoH на самом деле не препятствует отслеживанию пользователей интернет-провайдерами</h3> <p>Один из основных моментов, о котором сторонники DoH болтали в прошлом году, заключается в том, что DoH не позволяет интернет-провайдерам отслеживать DNS-запросы пользователей и, следовательно, не позволяет им отслеживать привычки пользователей в веб-трафике.</p> <p>Да. DoH не позволяет интернет-провайдеру просматривать DNS-запросы пользователя.</p> <p>Однако DNS — не единственный протокол, используемый при просмотре веб-страниц. Есть еще бесчисленное множество других точек данных, которые интернет-провайдеры могут отслеживать, чтобы знать, куда идет пользователь. Любой, кто говорит, что DoH мешает интернет-провайдерам отслеживать пользователей, либо лжет, либо не понимает, как работает веб-трафик.</p> <p>Более того, интернет-провайдеры в любом случае знают все о трафике каждого. По замыслу они могут видеть, к какому IP-адресу подключается пользователь при доступе к веб-сайту.</p> <p>Этот IP-адрес нельзя скрыть. Знание конечного IP-адреса позволяет узнать, к какому веб-сайту подключается пользователь, даже если весь его трафик зашифрован. Исследование, опубликованное в августе этого года, показало, что третья сторона может определить с точностью 95 %, к каким веб-сайтам подключались пользователи, просто взглянув на IP-адреса.</p> <p>Эксперты утверждают, что любые заявления о том, что DoH мешает интернет-провайдерам отслеживать пользователей, неискренни и вводят в заблуждение.DoH просто доставляет неудобства интернет-провайдерам, не позволяя им видеть один вектор, но у них есть множество других.</p> <h3>DoH обходит корпоративные политики</h3> <p>Второй важный момент — влияние DoH на корпоративный сектор, где системные администраторы используют локальные DNS-серверы и программное обеспечение на основе DNS для фильтрации и мониторинга локального трафика, чтобы предотвратить доступ пользователей к сайтам, не связанным с работой, и доменам вредоносных программ.< /p> <p>Для предприятий DoH был кошмаром с тех пор, как он был предложен. По сути, DoH создает механизм для перезаписи централизованно установленных настроек DNS и позволяет сотрудникам использовать DoH для обхода любых решений для фильтрации трафика на основе DNS.</p> <p>Поскольку современные DNS-серверы не поддерживают запросы DoH, приложения, которые в настоящее время поддерживают DoH, поставляются со списками жестко запрограммированных серверов DoH, эффективно отделяя DoH от обычных настроек DNS операционной системы (нет-нет, большой дизайн программного обеспечения, который возмутил некоторых разработчиков, таких как команда OpenDNS).</p> <p>Системные администраторы должны следить за настройками DNS в операционных системах, чтобы предотвратить атаки перехвата DNS. Наличие сотен приложений с собственными уникальными настройками DoH — это кошмар, поскольку это делает мониторинг перехвата DNS практически невозможным.</p> <p>Кроме того, трафик к определенным доменам блокируется по определенной причине внутри предприятий.</p> <p>После того, как DoH станет широко доступным, он станет любимым методом обхода корпоративных фильтров для доступа к контенту, который обычно блокируется на их рабочих местах.</p> <p>Некоторые могут использовать его для доступа к сайтам потоковой передачи фильмов или материалам для взрослых, но после включения DoH остается включенным, и сотрудники также могут случайно посетить вредоносные и фишинговые сайты, что подводит нас к следующему пункту.</p> <h3>DoH ослабляет кибербезопасность</h3> <p>Многие эксперты говорят, что протокол переворачивает с ног на голову сотни решений по кибербезопасности, которые станут бесполезными, как только пользователи начнут использовать DoH в своих браузерах, закрывая инструменты безопасности от наблюдения за действиями пользователей.</p> <p>И было много экспертов, которые предупреждали об этой проблеме, чьи голоса были заглушены теми, кто утверждал, что DoH — это лучшее, что есть после нарезанного хлеба.</p> <p>

Довольно прямолинейно, но есть несколько хороших чтений:

В документе, опубликованном в прошлом месяце, SANS Institute, одна из крупнейших в мире организаций по обучению кибербезопасности, заявила, что «беспрепятственное использование зашифрованного DNS, особенно DNS через HTTPS, может позволить злоумышленникам и инсайдерам обойти организационный контроль. "

Похожее предупреждение было повторено в эту пятницу, 4 октября, в бюллетене по безопасности, выпущенном Национальным центром кибербезопасности Нидерландов. Официальные лица Нидерландов предупредили, что организации, использующие решения для мониторинга безопасности на основе DNS, «вероятно, со временем увидят, что их видимость ухудшится», и эти продукты безопасности станут неэффективными.

"Тенденция безошибочна: мониторинг DNS станет сложнее", — заявило голландское агентство.

Совет заключается в том, что компаниям следует рассмотреть альтернативные методы блокировки исходящего трафика, решения, которые не зависят только от данных DNS. Институт SANS призывает организации не паниковать, но это потребует финансовых затрат и времени на обновление систем, чего многие организации не захотят делать.

И им нужно сделать это быстро, так как авторы вредоносных программ также уже поняли, насколько полезным может быть DoH. Например, в июле появились новости о первой вредоносной программе, которая использовала DoH для связи со своим командным и управляющим сервером без помех с помощью решений для мониторинга локальной сети.

Но исследователи безопасности и корпоративные администраторы не глупы. Они также понимают необходимость защиты DNS-запросов от посторонних глаз.

DoT имеет некоторые из тех же недостатков, что и DoH, но если исследователям безопасности придется выбирать между DoH и DoT, последний вызовет гораздо меньше головной боли, поскольку он будет работать поверх существующей инфраструктуры DNS, а не создавать свою собственную. класс резолверов с поддержкой DoH.

"Все основные интернет-провайдеры, развертывающие DoT, и основные операционные системы (ОС), поддерживающие DoT, значительно помогут улучшить конфиденциальность и безопасность, а также сохранить децентрализацию", – сказал Шреяс Заре, создатель DNS-сервера Technitium, который подытожил влияние DoH на корпоративный сектор в сообщении блога в прошлом месяце.

DoH также обходит законные черные списки, а не только цензуру

Еще одним важным моментом, который обсуждался в отношении DoH, была его способность обходить черные списки на основе DNS, созданные репрессивными правительствами.Используя DoH, пользователи могут обходить брандмауэры на основе DNS, которые были настроены на национальном уровне или на уровне интернет-провайдера, обычно с целью онлайн-цензуры и предотвращения доступа пользователей к политически чувствительному контенту.

Проблема в том, что DoH также обходит черные списки на основе DNS, созданные по законным причинам, например, против доступа к веб-сайтам с жестоким обращением с детьми, террористическому контенту и веб-сайтам с украденными материалами, защищенными авторским правом.

Вот почему и Mozilla, и Google в последнее время оказались в затруднительном положении с властями Великобритании и США.

В середине мая баронесса Торнтон, член парламента от Лейбористской партии, упомянула о протоколе DoH и его предстоящей поддержке со стороны производителей браузеров на заседании Палаты общин, назвав его угрозой онлайн-безопасности Великобритании.

GCHQ, британская разведывательная служба, также подвергла критике Google и Mozilla, заявив, что новый протокол будет препятствовать проведению полицейских расследований и что он может подорвать существующую государственную защиту от вредоносных веб-сайтов, предоставив злоумышленникам способ обойти его интернет-наблюдение. системы.

The Internet Watch Foundation (IWF), британская наблюдательная группа, заявленная миссия которой состоит в том, чтобы свести к минимуму доступность контента с сексуальными надругательствами над детьми в Интернете, также подвергла критике Google и Mozilla, заявив, что производители браузеров разрушили многолетнюю работу по защите британских public от оскорбительного контента, предоставив новый метод доступа к нелегальному контенту.

В июле британский интернет-провайдер номинировал Mozilla на награду "Интернет-злодей 2019 года" за планы по поддержке DoH, ссылаясь на те же причины, что и IWF.

В сентябре Судебный комитет Палаты представителей США начал расследование планов Google по включению DoH, заявив, что поддержка DoH "может в массовом масштабе помешать критически важным функциям Интернета, а также вызвать проблемы с конкуренцией данных".

Когда Google и Mozilla объявили о планах поддержки DoH в качестве решения для борьбы с цензурой, все ожидали, что противодействие будет исходить от репрессивных режимов, таких как Китай, Иран или Россия. тем не менее, отказ пришел из самых неожиданных мест.

И Mozilla уже сломалась под давлением. В июле организация сообщила ZDNet, что больше не планирует включать DoH по умолчанию для пользователей из Великобритании. Google, с другой стороны, заявил, что разработал поддержку DoH в Chrome таким образом, что ответственность ложится исключительно на компании, предоставляющие DNS-серверы с альтернативными преобразователями DoH.

DoH не следует рекомендовать диссидентам

Еще одна серьезная проблема, с которой сталкивается большинство экспертов по безопасности в связи с DoH, — недавние заявления о том, что он может помочь тем, кто живет в деспотических странах.

Эти утверждения были широко высмеяны, а некоторые эксперты по безопасности назвали сторонников DoH безответственными за то, что подвергают жизни людей риску, создавая у них ложное чувство безопасности, если они используют DoH.

Это связано с тем, что DoH не защищает пользователей от отслеживания. Как было объяснено выше, DoH скрывает только DNS-трафик, но все остальное остается видимым.

В своем блоге, опубликованном в прошлом месяце, PowerDNS описала усилия по продвижению идеи о том, что DoH может помочь пользователям в опасных странах, как "очень технологичный шаг", исходящий от людей, которые не до конца понимают ситуацию.< /p>

«Полезно рассматривать DoH как «очень частичную VPN», которая шифрует только пакеты DNS, но оставляет все остальные пакеты без изменений», — говорится в сообщении PowerDNS.

Вместо этого такие эксперты, как Zare и PowerDNS, рекомендуют пользователям в деспотических странах использовать приложения с поддержкой DoH в сочетании с Tor или VPN, а не только DoH. Говорить людям, что они могут полностью положиться на DoH, просто вводит в заблуждение.

DoH централизует DNS-трафик на нескольких преобразователях DoH

Кроме того, существует проблема влияния DoH на всю экосистему DNS, децентрализованную сеть серверов.

Самым большим критиком этого шага был Азиатско-Тихоокеанский сетевой информационный центр (APNIC), который в своем блоге на этой неделе раскритиковал идею отправки трафика DoH на несколько распознавателей DoH вместо использования существующей экосистемы. DNS-серверов.

Они утверждают, что шифрование DNS-трафика должно выполняться в текущей инфраструктуре, а не создавать еще один (бесполезный) уровень преобразователей DoH, который затем размещается поверх существующего уровня DNS.

«Централизованное DoH в настоящее время негативно влияет на конфиденциальность, поскольку любой, кто может видеть ваши метаданные, по-прежнему может видеть ваши метаданные, когда DNS передается третьей стороне», — говорится в сообщении APNIC. «Кроме того, эта третья сторона затем получает полный журнал всех DNS-запросов для каждого устройства, что позволяет отслеживать даже IP-адреса.

"Шифрование DNS — это хорошо, но если бы это можно было сделать без привлечения дополнительных сторон, это было бы еще лучше", — добавил APNIC.

Пользователи, которые хотят скрыть свой веб-трафик, по-прежнему должны рассматривать VPN и Tor как более безопасные решения, а DoH — как дополнительный уровень защиты, если он доступен.

Компаниям потребуется инвестировать в новые способы мониторинга и фильтрации трафика, поскольку эра систем на основе DNS, похоже, подходит к концу, и потребуются гибридные решения с возможностями перехвата TLS. Такие системы уже существуют, но они дороги, и это основная причина, по которой многие компании до сих пор полагались на системы на основе DNS.

Читайте также: