Εταιρείες όπως η Microsoft, η Google και η Mozilla προχωρούν με DNS μέσω HTTPS (DoH). Αυτή η τεχνολογία θα κρυπτογραφήσει τις αναζητήσεις DNS, βελτιώνοντας το απόρρητο και την ασφάλεια στο διαδίκτυο. Αλλά είναι αμφιλεγόμενο: Η Comcast ασκεί λόμπι εναντίον της. Εδώ είναι τι πρέπει να ξέρετε.
Πίνακας περιεχομένων
Τι είναι το DNS μέσω HTTPS;
Ο Ιστός πιέζει να κρυπτογραφήσει τα πάντα από προεπιλογή. Σε αυτό το σημείο, οι περισσότεροι από τους ιστότοπους στους οποίους έχετε πρόσβαση πιθανότατα χρησιμοποιούν κρυπτογράφηση HTTPS. Τα σύγχρονα προγράμματα περιήγησης ιστού όπως το Chrome επισημαίνουν πλέον όλους τους ιστότοπους που χρησιμοποιούν τυπικό HTTP ως “μη ασφαλείς”. Το HTTP/3, η νέα έκδοση του πρωτοκόλλου HTTP, έχει ξεκινήσει την κρυπτογράφηση.
Αυτή η κρυπτογράφηση διασφαλίζει ότι κανείς δεν μπορεί να παραβιάσει μια ιστοσελίδα ενώ την προβάλλετε ή να κατασκοπεύσει τι κάνετε στο διαδίκτυο. Για παράδειγμα, εάν συνδεθείτε στο Wikipedia.org, ο χειριστής του δικτύου —είτε πρόκειται για το δημόσιο σημείο πρόσβασης Wi-Fi μιας επιχείρησης είτε για τον ISP σας—μπορεί να δει μόνο ότι είστε συνδεδεμένοι στο wikipedia.org. Δεν μπορούν να δουν ποιο άρθρο διαβάζετε και δεν μπορούν να τροποποιήσουν ένα άρθρο της Wikipedia υπό μεταφορά.
Όμως, στην ώθηση προς την κρυπτογράφηση, το DNS έχει μείνει πίσω. Το σύστημα ονομάτων τομέα καθιστά δυνατή τη σύνδεση σε ιστότοπους μέσω των ονομάτων τομέα τους και όχι με τη χρήση αριθμητικών διευθύνσεων IP. Πληκτρολογείτε ένα όνομα τομέα όπως google.com και το σύστημά σας θα επικοινωνήσει με τον διαμορφωμένο διακομιστή DNS του για να λάβει τη διεύθυνση IP που σχετίζεται με το google.com. Στη συνέχεια θα συνδεθεί σε αυτήν τη διεύθυνση IP.
Μέχρι τώρα, αυτές οι αναζητήσεις DNS δεν έχουν κρυπτογραφηθεί. Όταν συνδέεστε σε έναν ιστότοπο, το σύστημά σας ενεργοποιεί ένα αίτημα που λέει ότι αναζητάτε τη διεύθυνση IP που σχετίζεται με αυτόν τον τομέα. Οποιοσδήποτε ενδιάμεσος—πιθανώς ο ISP σας, αλλά ίσως και απλώς μια δημόσια επισκεψιμότητα καταγραφής σημείου πρόσβασης Wi-Fi— θα μπορούσε να καταγράψει τους τομείς στους οποίους συνδέεστε.
Το DNS μέσω HTTPS κλείνει αυτήν την παράβλεψη. Όταν DNS μέσω HTTPS, το σύστημά σας θα πραγματοποιήσει μια ασφαλή, κρυπτογραφημένη σύνδεση με τον διακομιστή DNS και θα μεταφέρει το αίτημα και την απάντηση μέσω αυτής της σύνδεσης. Οποιοσδήποτε ενδιάμεσος δεν θα μπορεί να δει ποια ονόματα τομέα αναζητάτε ή να παραβιάσει την απόκριση.
Σήμερα, οι περισσότεροι άνθρωποι χρησιμοποιούν τους διακομιστές DNS που παρέχονται από τον πάροχο υπηρεσιών διαδικτύου τους. Ωστόσο, υπάρχουν πολλοί διακομιστές DNS τρίτων όπως Cloudflare’s 1.1.1.1, Google Public DNS, και OpenDNS. Αυτοί οι τρίτοι πάροχοι είναι από τους πρώτους που ενεργοποιούν την υποστήριξη από την πλευρά του διακομιστή για DNS μέσω HTTPS. Για να χρησιμοποιήσετε το DNS μέσω HTTPS, θα χρειαστείτε τόσο διακομιστή DNS όσο και πελάτη (όπως πρόγραμμα περιήγησης ιστού ή λειτουργικό σύστημα) που να το υποστηρίζει.
Ποιος θα το υποστηρίξει;
Η Google και η Mozilla δοκιμάζουν ήδη το DNS μέσω HTTPS στο Google Chrome και στο Mozilla Firefox. Στις 17 Νοεμβρίου 2019, ανακοίνωσε η Microsoft θα ήταν η υιοθέτηση DNS μέσω HTTPS στη στοίβα δικτύωσης των Windows. Αυτό θα διασφαλίσει ότι κάθε εφαρμογή στα Windows θα έχει τα πλεονεκτήματα του DNS μέσω HTTPS χωρίς να είναι ρητά κωδικοποιημένη για την υποστήριξή του.
λέει η Google θα ενεργοποιήσει το DoH από προεπιλογή για το 1% των χρηστών ξεκινώντας από το Chrome 79, που αναμένεται να κυκλοφορήσει στις 10 Δεκεμβρίου 2019. Όταν κυκλοφορήσει αυτή η έκδοση, θα μπορείτε επίσης να μεταβείτε στη διεύθυνση chrome://flags/#dns-over -https για να το ενεργοποιήσετε.
λέει η Mozilla θα ενεργοποιήσει το DNS μέσω HTTPS για όλους το 2019. Στην τρέχουσα σταθερή έκδοση του Firefox σήμερα, μπορείτε να μεταβείτε στο μενού > Επιλογές > Γενικά, κάντε κύλιση προς τα κάτω και κάντε κλικ στο «Ρυθμίσεις» στις Ρυθμίσεις δικτύου για να βρείτε αυτήν την επιλογή. Ενεργοποιήστε το «Ενεργοποίηση DNS μέσω HTTPS».
Η Apple δεν έχει σχολιάσει ακόμη τα σχέδια για DNS μέσω HTTPS, αλλά περιμέναμε από την εταιρεία να ακολουθήσει και να εφαρμόσει υποστήριξη σε iOS και macOS μαζί με τον υπόλοιπο κλάδο βιομηχανίας.y
Δεν είναι ακόμα ενεργοποιημένο από προεπιλογή για όλους, αλλά το DNS μέσω HTTPS θα κάνει τη χρήση του διαδικτύου πιο ιδιωτική και ασφαλή μόλις ολοκληρωθεί.
Γιατί η Comcast ασκεί πίεση εναντίον της;
Αυτό δεν ακούγεται πολύ αμφιλεγόμενο μέχρι στιγμής, αλλά είναι. Η Comcast προφανώς ασκεί πιέσεις στο Κογκρέσο για να εμποδίσει την Google να διαθέσει DNS μέσω HTTPS.
Σε μια παρουσίαση που παρουσιάστηκε στους νομοθέτες και ελήφθη από Μητρική πλακέτα, η Comcast υποστηρίζει ότι η Google επιδιώκει «μονομερή σχέδια» («μαζί με τη Mozilla») για να ενεργοποιήσει το DoH και το «[centralize] η πλειονότητα των παγκόσμιων δεδομένων DNS με την Google», κάτι που θα «σημάδευε μια θεμελιώδη αλλαγή στην αποκεντρωμένη φύση της αρχιτεκτονικής του Διαδικτύου».
Πολλά από αυτά είναι, ειλικρινά, ψευδή. Ο Marshell Erwin της Mozilla είπε στο Motherboard ότι «οι διαφάνειες συνολικά είναι εξαιρετικά παραπλανητικές και ανακριβείς». Σε μια ανάρτηση ιστολογίου, ο διευθυντής προϊόντων Chrome Kenji Beaheux επισημαίνει ότι το Google Chrome δεν θα αναγκάσει κανέναν να αλλάξει τον πάροχο DNS του. Το Chrome θα υπακούει στον τρέχοντα πάροχο DNS του συστήματος—αν δεν υποστηρίζει DNS μέσω HTTPS, το Chrome δεν θα χρησιμοποιεί DNS μέσω HTTPS.
Και, από τότε, η Microsoft ανακοίνωσε σχέδια για υποστήριξη DoH σε επίπεδο λειτουργικού συστήματος Windows. Με τη Microsoft, την Google και τη Mozilla να το αγκαλιάζουν, αυτό δεν είναι σχεδόν ένα «μονομερές» σχέδιο από την Google.
Μερικοί έχουν υποστηρίξει ότι η Comcast δεν συμπαθεί το DoH επειδή δεν μπορεί πλέον να συλλέγει δεδομένα αναζήτησης DNS. Ωστόσο, η Comcast έχει υποσχόμενος δεν κατασκοπεύει τις αναζητήσεις σας στο DNS. Η εταιρεία επιμένει ότι υποστηρίζει κρυπτογραφημένο DNS, αλλά θέλει μια «συνεργατική λύση σε όλη τη βιομηχανία» αντί για «μονομερή δράση». Τα μηνύματα της Comcast είναι ακατάστατα—τα επιχειρήματά της κατά του DNS μέσω του HTTPS προορίζονταν σαφώς για τα μάτια των νομοθετών και όχι του κοινού.
Πώς θα λειτουργήσει το DNS μέσω HTTPS;
Με τις παράξενες αντιρρήσεις της Comcast στην άκρη, ας ρίξουμε μια ματιά στο πώς θα λειτουργήσει πραγματικά το DNS μέσω HTTPS. Όταν η υποστήριξη DoH είναι διαθέσιμη στο Chrome, το Chrome θα χρησιμοποιεί DNS μέσω HTTPS μόνο εάν το υποστηρίζει ο τρέχων διακομιστής DNS του συστήματος.
Με άλλα λόγια, εάν έχετε την Comcast ως πάροχο υπηρεσιών Διαδικτύου και η Comcast αρνηθεί να υποστηρίξει DoH, το Chrome θα λειτουργεί όπως λειτουργεί σήμερα χωρίς να κρυπτογραφήσει τις αναζητήσεις DNS σας. Εάν έχετε διαμορφώσει έναν άλλο διακομιστή DNS—ίσως έχετε επιλέξει Cloudflare DNS, Google Public DNS ή OpenDNS, ή ίσως οι διακομιστές DNS του ISP σας υποστηρίζουν DoH—το Chrome θα χρησιμοποιήσει κρυπτογράφηση για να μιλήσει στον τρέχοντα διακομιστή σας DNS, «αναβαθμίζοντας» αυτόματα το σύνδεση. Οι χρήστες μπορεί να επιλέξουν να απομακρυνθούν από παρόχους DNS που δεν προσφέρουν DoH—όπως της Comcast—αλλά το Chrome δεν θα το κάνει αυτόματα.
Αυτό σημαίνει επίσης ότι τυχόν λύσεις φιλτραρίσματος περιεχομένου που χρησιμοποιούν DNS δεν θα διακοπούν. Εάν χρησιμοποιείτε OpenDNS και διαμορφώσετε ορισμένους ιστότοπους για αποκλεισμό, το Chrome θα αφήσει το OpenDNS ως τον προεπιλεγμένο διακομιστή DNS και τίποτα δεν θα αλλάξει.
Ο Firefox λειτουργεί κάπως διαφορετικά. Η Mozilla επέλεξε να συνεργαστεί με το Cloudflare ως τον κρυπτογραφημένο πάροχο DNS του Firefox στις ΗΠΑ. Ακόμα κι αν έχετε διαμορφώσει διαφορετικό διακομιστή DNS, ο Firefox θα στείλει τα αιτήματά σας DNS στον διακομιστή DNS 1.1.1.1 του Cloudflare. Ο Firefox θα σας επιτρέψει να το απενεργοποιήσετε ή να χρησιμοποιήσετε έναν προσαρμοσμένο κρυπτογραφημένο πάροχο DNS, αλλά το Cloudflare θα είναι η προεπιλογή.
Η Microsoft λέει ότι το DNS μέσω HTTPS στα Windows 10 θα λειτουργεί παρόμοια με το Chrome. Τα Windows 10 θα υπακούουν στον προεπιλεγμένο διακομιστή DNS και θα ενεργοποιήσουν το DoH μόνο εάν το υποστηρίζει ο διακομιστής DNS της επιλογής σας. Ωστόσο, η Microsoft λέει ότι θα καθοδηγήσει τους “χρήστες και διαχειριστές των Windows με γνώμονα το απόρρητο” στις ρυθμίσεις διακομιστή DNS.
Τα Windows 10 ενδέχεται να σας ενθαρρύνουν να αλλάξετε διακομιστές DNS σε διακομιστές που είναι ασφαλισμένοι με DoH, αλλά η Microsoft λέει ότι τα Windows δεν θα κάνουν τη μετάβαση για εσάς.