Šifrování DNS: Jak DNS over HTTPS (DoH) posiluje ochranu soukromí online
Technologické giganty jako Microsoft, Google a Mozilla aktivně prosazují zavedení DNS over HTTPS (DoH), tedy DNS šifrované pomocí protokolu HTTPS. Tato inovace má za cíl zvýšit bezpečnost a soukromí uživatelů internetu tím, že zašifruje komunikaci související s vyhledáváním DNS. Nicméně, tato technologie vyvolává i kontroverze, o čemž svědčí například lobbing společnosti Comcast proti DoH. Podívejme se na to, co byste o této problematice měli vědět.
Co je DNS over HTTPS?
Současný web se snaží o co největší míru šifrování. Většina webových stránek dnes využívá šifrování HTTPS. Moderní webové prohlížeče jako Chrome označují stránky s nezabezpečeným HTTP protokolem jako potenciálně nebezpečné. I nová verze protokolu HTTP/3 má zabudované šifrování.
Díky šifrování nemůže nikdo manipulovat s obsahem webových stránek ani sledovat, co na internetu děláme. Když se například připojujete na Wikipedia.org, síťový operátor (ať už je to provozovatel veřejné Wi-Fi nebo váš poskytovatel internetu) vidí pouze to, že jste se připojili k wikipedia.org. Neuvidí, jaký článek si prohlížíte a ani ho nemůže cestou upravovat.
Nicméně, systém DNS, který nám umožňuje připojovat se k webovým stránkám pomocí doménových jmen, namísto komplikovaných číselných IP adres, zůstal v šifrování pozadu. Zadáte tedy například „google.com“ a váš systém se obrátí na nastavený DNS server, aby zjistil IP adresu přiřazenou ke google.com a následně se připojil k této IP adrese.
Doposud nebyly tyto DNS dotazy šifrovány. Pokud se připojujete k webu, váš systém vyšle požadavek na vyhledání IP adresy pro danou doménu. Kdokoli „mezi tím“, například váš poskytovatel internetu nebo veřejná Wi-Fi, může monitorovat, jaké domény navštěvujete.
DNS over HTTPS tento problém řeší. Vytvoří zabezpečené, zašifrované spojení s vaším DNS serverem a pošle dotaz i odpověď prostřednictvím tohoto spojení. Nikdo třetí už neuvidí, jaké domény hledáte, a nemůže falšovat odpověď.
Dnes většina uživatelů používá DNS servery svého poskytovatele internetu. Existuje však i mnoho DNS serverů třetích stran, například Cloudflare 1.1.1.1, Google Public DNS a OpenDNS. Tito poskytovatelé jsou průkopníky v podpoře DNS over HTTPS na straně serveru. Pro používání DNS over HTTPS je potřeba server DNS a klient (prohlížeč nebo operační systém), který tuto technologii podporuje.
Kdo podporuje DNS over HTTPS?
Google a Mozilla již DoH testují ve svých prohlížečích Chrome a Firefox. Dne 17. listopadu 2019 Microsoft oznámil začlenění DoH do síťové vrstvy systému Windows. Tím by se výhody šifrovaného DNS měly dostat do všech aplikací ve Windows bez nutnosti explicitní podpory.
Google uvádí, že DoH bude standardně zapnut pro 1 % uživatelů od verze Chrome 79, která byla vydána 10. prosince 2019. Funkci lze aktivovat i manuálně v nastavení Chrome, a to prostřednictvím chrome://flags/#dns-over-https.
Mozilla plánuje v roce 2019 povolit DNS over HTTPS pro všechny uživatele. V aktuální stabilní verzi Firefoxu se tato volba nachází v Menu > Možnosti > Obecné, kde je nutno sjet dolů a kliknout na „Nastavení“ v sekci Nastavení sítě a aktivovat „Povolit DNS over HTTPS“.
Apple se k plánům na zavedení DoH zatím nevyjádřil. Očekává se ale, že společnost bude následovat zbytek odvětví a zavede podporu v iOS i macOS.
Přestože není tato funkce pro všechny standardně aktivní, DNS over HTTPS by mělo do budoucna zabezpečit a zkvalitnit soukromí při používání internetu.
Proč se Comcast staví proti DNS over HTTPS?
Na první pohled se nezdá, že by mělo jít o kontroverzní téma, ale opak je pravdou. Společnost Comcast lobbuje v Kongresu, aby Googlu zabránila ve zavádění DNS over HTTPS.
V prezentaci předložené zákonodárcům, kterou získal web Motherboard, Comcast tvrdí, že Google a Mozilla „jednostranně“ aktivují DoH a „centralizují většinu globálních dat DNS u Googlu“, což by „znamenalo zásadní posun v decentralizované architektuře internetu“.
Většina z těchto tvrzení je nepravdivá. Marshell Erwin z Mozilly pro Motherboard uvedl, že „prezentované informace jsou zavádějící a nepřesné“. Produktový manažer Google Chrome, Kenji Beaheux, zdůraznil, že Google Chrome nikoho nenutí měnit poskytovatele DNS. Chrome bude používat stávajícího poskytovatele DNS, pokud nepodporuje DNS over HTTPS, Chrome nebude tuto funkci používat.
Navíc i Microsoft oznámil plány na implementaci DoH na úrovni operačního systému Windows. Vzhledem k tomu, že se k projektu připojili Microsoft, Google a Mozilla, těžko lze mluvit o „jednostranné“ akci Googlu.
Někteří se domnívají, že Comcast nesouhlasí s DoH, protože by nemohl sbírat data o vyhledávání DNS. Nicméně, Comcast slíbil, že špehování DNS není jeho cílem. Firma trvá na tom, že podporuje šifrované DNS, ale žádá „společné, celoodvětvové řešení“ namísto „jednostranného postupu“. Komunikace Comcastu je zmatená – jeho argumenty proti DNS over HTTPS byly evidentně mířené spíše na zákonodárce než na veřejnost.
Jak bude DNS over HTTPS fungovat?
Pomineme-li podivné námitky Comcastu, podívejme se, jak DNS over HTTPS skutečně funguje. Až bude v Chromu spuštěna podpora DoH, Chrome bude používat DNS přes HTTPS pouze v případě, že to stávající DNS server systému podporuje.
Jinými slovy, pokud máte jako poskytovatele internetu Comcast a ten odmítne podporovat DoH, Chrome se bude chovat jako dosud, bez šifrování DNS dotazů. Pokud ale máte nastavený jiný DNS server – například Cloudflare DNS, Google Public DNS nebo OpenDNS, a tento server podporuje DoH – Chrome použije šifrování a automaticky vylepší spojení. Uživatelé se mohou rozhodnout přejít od poskytovatelů, kteří DoH nenabízejí (jako Comcast), ale Chrome to automaticky neudělá.
Zároveň tím nejsou narušena žádná řešení pro filtrování obsahu, která využívají DNS. Pokud například používáte OpenDNS a máte nastavené blokování určitých webových stránek, Chrome ponechá OpenDNS jako výchozí DNS server a nic se nezmění.
Firefox funguje mírně odlišně. Mozilla se v USA rozhodla pro Cloudflare jako poskytovatele šifrovaného DNS pro Firefox. I když máte nastavený jiný DNS server, Firefox bude vaše DNS dotazy posílat na DNS server 1.1.1.1 Cloudflare. Firefox vám umožňuje tuto funkci zakázat nebo používat vlastního šifrovaného poskytovatele DNS, ale Cloudflare bude výchozí volbou.
Microsoft uvedl, že DNS over HTTPS v systému Windows 10 bude fungovat podobně jako v Chromu. Windows 10 bude používat váš výchozí DNS server a DoH povolí pouze tehdy, pokud ho vybraný server podporuje. Microsoft ovšem dodává, že uživatele a správce Windows „se zájmem o ochranu soukromí“ provede nastavením DNS serveru.
Systém Windows vás může vyzvat, abyste změnili DNS servery na servery, které jsou chráněny pomocí DoH, ale Microsoft uvádí, že automaticky vás na ně nepřesune.