Mozilla надеется, что изменение не позволит преступникам перехватывать трафик между его браузером и DNS-сервером, а затем вставлять поддельные адреса, перенаправляющие на вредоносный сайт.
Mozilla начала включать DNS—over—HTTPS, или DoH, как часть своей общей стратегии по защите конфиденциальности пользователей.
«Мы знаем, что незашифрованный DNS не только уязвим для шпионажа, но и подвержен эксплоитам», — пишет Селена Декельманн, новый вице-президент Mozilla по десктопной версии Firefox, в сообщении от 25 февраля в блоге компании. «Мы помогаем сделать шаг к более безопасным альтернативам, выполняя поиск DNS в зашифрованном соединении HTTPS. Это помогает скрыть историю просмотров от злоумышленников в сети и предотвратить сбор данных третьими лицами о сети, которая связывает ваш компьютер с посещаемыми сайтами.»
Браузер — в данном случае Mozilla Firefox — ищет в базе данных DNS адрес, необходимый пользователю, например novo-it.ru, а затем извлекает и использует связанный с ним IP-адрес, например 41.8.196.16, для доступа к сайту. Исторически сложилось так, что данный поиск был сделан через незашифрованные соединения, даже если желаемый ресурс был защищен HTTPS.
Как сказала Декельманн, открытость поиска DNS использовалась как хакерами, так и организациями, желающими отслеживать пользователей в Интернете для получения коммерческой выгоды. DNS-трафик может быть прочитан кем-то, кто наблюдает за общедоступной сетью Wi-Fi или может проверяться интернет-провайдером пользователя. Преступники могут перехватить пакеты между браузером и DNS-сервером, а затем вставить туда поддельные адреса, которые направят пользователя на вредоносный сайт.
Переход к DNS lookup и его возврат к зашифрованному соединению предотвращает подобные злоупотребления.
И Mozilla, и Google мучали DoH, уже почти два года. В сентябрьской обновленной информации о прогрессе в области экспериментального протокола DoH в 2019 году Mozilla сообщила, что уже в этом месяце она начнет активировать DNS-over-HTTPS. Но вместо этого начала делать все больше и больше тестов.
«Сегодня Firefox начал развертывание зашифрованного DNS по HTTPS (DoH) по умолчанию для пользователей из США», — заявила Декельманн во вторник. «Развертывание будет продолжено в течение нескольких следующих недель, чтобы подтвердить возникновение серьезных проблем».
Пользователи, не живущие в США, а также те, кто хочет включить DoH немедленно, могут открыть вкладку «Настройки»> «Параметры сети»> «Настроить…», а затем установить флажок «Включить DNS через HTTPS», выбрать «Cloudflare» или «NextDNS» из списка и, наконец, нажать «OK».
Firefox автоматически отключит DoH, если обнаружит, что в операционной системе выбраны родительские элементы управления просмотром. Аналогичным образом, DoH отключится, если администраторы установили какие-либо корпоративные политики для Firefox, если только одной из этих политик не является DNS—over—HTTPS.
Планы Google по DoH для Chrome были другими. Вместо того, чтобы переключать поставщиков DNS — и по умолчанию использовать Cloudflare в качестве нового «преобразователя» зашифрованного соединения, с NextDNS в качестве альтернативного выбора — Chrome использует таблицу, поддерживаемую Google, чтобы увидеть, есть ли у текущего обозревателя DNS DoH сервера. Если это так, Chrome автоматически переключается на него.
Как и Firefox, браузеры Chrome, которые присоединены к домену или имеют хотя бы одну активную групповую политику — не будут автоматически обновляться до DoH. Предприятия также смогут управлять экспериментом DoH с помощью новой политики DnsOverHttpsMode.
Google тестирует данный подход с 2019 года, но пока не распространяет его на всех пользователей Chrome. Согласно отчету, Google планирует сделать это с Chrome 81, который в настоящее время планируется выпустить 17 марта.
Подход Google основан на мотивации DNS-провайдеров предоставлять DoH-серверы в качестве альтернативы своим не-DoH-серверам. Не все захотят предлагать DoH, особенно некоторые интернет-провайдеры, потому что они прямо или косвенно извлекают выгоду из отслеживания и ведения журналов, которые они могут вести для своих клиентов.
Способ DoH от Firefox определенно занимает более агрессивную позицию в отношении конфиденциальности пользователей.
Более подробную информацию о DoH в Firefox можно найти в разделе FAQ, созданном Mozilla.
Ремонтруем компьютеры. Выполняем профилактику (чистку от пыли, смазку и лечение от вирусов и прочего системного мусора) ноутбуков и компьютеров. Ждем вас в наших офисах NOVA в Иркутске:
Иркутск, ул. Вампилова, 2/3 (мкр. Первомайский)
Иркутск, ул. Севастопольская, 4
Иркутск, ул. Советская, 79
Или звоните по телефону 8 (3952) 48-44-40 в Иркутске!
