Иллюстрация из статьи zhovner «Google Public DNS тихо включил поддержку DNS over TLS»
Mozilla и Google продолжают продвигать протокол шифрования DoH. Его уже внедрили в ранние альфы Firefox и Chrome. Шифрование DNS-запросов поддерживают Google Public DNS, Cloudflare DNS и другие резолверы.
Шифрование DNS-трафика с невозможностью слежки «человеком в середине», составлять и продавать профили пользователей — сильный удар по интернет-провайдерам, которые занимаются всем перечисленным. В отдельных странах это не понравится правоохранительным органам, которые затрудняют гражданам доступ к определённым ресурсам в интернете (например, в России заблокированы «Луркоморье», «Рутрекер» и 289 955 других ресурсов). Протокол DoH практически сводит на нет усилия властей.
Своё недовольство уже высказали провайдеры Великобритании, которые назвали Mozilla «главным злодеем интернета» якобы за подрыв системы блокировки сайтов с детской порнографией. На этой неделе стало известно о закулисной борьбе в коридорах законодательной власти США, где компании могут лоббировать свои интересы и легально «подкупать» депутатов.
В распоряжение издания Vice попала презентация Comcast с аргументами против планов Google и Mozilla по развёртыванию системы DNS.
В презентации говорится, что IETF в прошлом году принял стандарты шифрования трафика DNS под названием DNS over HTTPS (DoH) для браузеров и DNS over TLS (DoT) для мобильных ОС.
Comcast утверждает, что по стандарту модель DNS должна оставаться распределённой, в то время как Google (с примкнувшей к ней Mozilla) «в одностороннем порядке» объявили о внедрении DoH в своих браузерах. Если это будет сделано, то маршрутом по умолчанию для DNS-трафика станет сервис Google Public DNS.
Comcast утверждает, что новый тип шифрования централизует власть Google. Компания получит в своё распоряжение большую часть глобальных данных DNS, а это представляет собой «фундаментальный сдвиг» для децентрализованной природы интернета. Такая централизация «поднимает серьёзные вопросы информационной безопасности, приватности, монополизации, национальной безопасности и охраны правопорядка, сетевой производительности и качества сервиса (включая 5G), а также в других областях».
Comcast представляет ситуацию так, словно Google пытается узурпировать DNS-трафик и замкнуть на себя децентрализованную систему DNS-резолверов. Со своей стороны, Comcast якобы выступает на стороне добра и за свободу интернета, упрекая Google в корыстных интересах. Провайдер подчёркивает монополию Google на рынке браузеров и мобильных ОС. «Почему Google так спешит?» — вопрос на одном из слайдов.
Comcast призывает защитить интернет от монопольных планов Google. Конгресс должен остановить развёртывание DoH и заставить Google ответить на ряд ключевых вопросов по поводу узурпации DNS-трафика, угрозы национальной безопасности, ухудшению работы интернет-сервисов и так далее.
Google и Mozilla категорически не согласны с аргументами Comcast: «Презентация в целом неточна и вводит в заблуждение. Честно говоря, я бы постеснялся показывать политикам такие слайды, — сказал директор по безопасности в Mozilla Маршалл Эрвин (Marshall Erwin). — Мы пытаемся существенно сдвинуть полномочия по сбору и монетизации данных людей от интернет-провайдеров и предоставить пользователям контроль и набор средств защиты по умолчанию».
Google ответила, что настройки DNS в Chrome будут опцией, которую пользователи могут изменить в любое время.
Фонд электронных рубежей (EFF) опубликовал открытое письмо к Конгрессу не поддаваться на пропаганду Comcast и поддержать внедрение протокола DoH для лучшей защиты интернета: «Одним из важных моментов, которые следует подчеркнуть, является то, что Google публично не объявляла план переопределить установленный пользователем DNS-резолвер в рамках реализации DoH, — говорит Макс Хантер, директор по разработке в EFF. — Если бы Google действительно менял настроенный на ОС резолвер своим собственным, то нас бы очень обеспокоил потенциал наблюдения и цензуры, который принесёт централизация DNS».
«Google не планирует централизовать или изменять DNS-провайдера по умолчанию на Google Public DNS. Любое утверждение, что мы пытаемся стать централизованным DNS-провайдером шифрования, является неточным, — сказал представитель Google. — Наше предложение для DoH обеспечивает безопасные соединения и не изменяет DNS пользователя, поэтому все существующие фильтры и элементы управления остаются неизменными», — добавил он.
«Единственная правда в этой лоббистской активности ISP заключается в том, что DoH действительно представляет собой фундаментальный сдвиг в том, как работает сеть. И это сделано намеренно с нашей стороны, — говорит Маршалл Эрвин из Mozilla. — Эта презентация Comcast представляет собой часть довольно агрессивной кампании интернет-провайдеров, чтобы сохранить контроль над трафиком DNS и возможностями отслеживания, которые он им предоставляет».
Издание Vice напоминает, что в 2017 году интернет-провайдеры лоббировали Конгресс разрешить продажу профилей абонентов с историей сёрфинга без уведомления пользователей.
«Конгресс должен поддержать системное принятие DoH, чтобы закрыть один из самых больших пробелов в приватности, оставшихся в интернете, одновременно продвигая дело свободы интернета во многих частях мира, остро нуждающихся в нём», — сказано в письме EFF.
