Společnosti jako Microsoft, Google a Mozilla prosazují DNS přes HTTPS (DoH). Tato technologie bude šifrovat vyhledávání DNS, čímž zlepší soukromí a zabezpečení online. Ale je to kontroverzní: Comcast proti tomu lobuje. Zde je to, co potřebujete vědět.
Table of Contents
Co je DNS přes HTTPS?
Web ve výchozím nastavení tlačí na šifrování všeho. V tuto chvíli většina webových stránek, na které přistupujete, pravděpodobně používá šifrování HTTPS. Moderní webové prohlížeče, jako je Chrome, nyní označují všechny stránky používající standardní HTTP jako „nezabezpečené“. HTTP/3, nová verze protokolu HTTP, má zabudováno šifrování.
Toto šifrování zajišťuje, že nikdo nemůže manipulovat s webovou stránkou, když si ji prohlížíte, nebo sledovat, co děláte online. Pokud se například připojíte k Wikipedia.org, operátor sítě – ať už jde o veřejný hotspot Wi-Fi firmy nebo váš ISP – uvidí pouze to, že jste připojeni k wikipedia.org. Nemohou vidět, který článek čtete, a nemohou upravovat článek na Wikipedii při přenosu.
Ale v úsilí o šifrování zůstalo DNS pozadu. Systém doménových jmen umožňuje připojit se k webovým stránkám prostřednictvím jejich doménových jmen spíše než pomocí číselných IP adres. Zadáte název domény jako google.com a váš systém kontaktuje svůj nakonfigurovaný server DNS, aby získal IP adresu spojenou s google.com. Poté se připojí k této IP adrese.
Až dosud nebyla tato vyhledávání DNS šifrována. Když se připojíte k webu, váš systém spustí požadavek, že hledáte IP adresu spojenou s danou doménou. Kdokoli mezi tím – možná váš ISP, ale možná také jen veřejný Wi-Fi hotspot protokolující provoz – může zaznamenávat, ke kterým doménám se připojujete.
DNS over HTTPS tento dohled uzavírá. Když DNS over HTTPS, váš systém vytvoří zabezpečené, šifrované připojení k vašemu DNS serveru a přenese požadavek a odpověď přes toto připojení. Nikdo mezi tím neuvidí, která doménová jména vyhledáváte, ani nebude moci falšovat odpověď.
Dnes většina lidí používá servery DNS poskytované jejich poskytovatelem internetových služeb. Existuje však mnoho serverů DNS třetích stran, jako je Cloudflare’s 1.1.1.1, Veřejné DNS společnosti Google, a OpenDNS. Tito poskytovatelé třetích stran jsou mezi prvními, kteří povolují podporu DNS přes HTTPS na straně serveru. Chcete-li používat DNS přes HTTPS, budete potřebovat server DNS i klienta (například webový prohlížeč nebo operační systém), který to podporuje.
Kdo to podpoří?
Google a Mozilla již testují DNS přes HTTPS v Google Chrome a Mozilla Firefox. Dne 17. listopadu 2019 Microsoft oznámil bylo by to přijetí DNS přes HTTPS v síťovém zásobníku Windows. To zajistí, že každá aplikace ve Windows získá výhody DNS přes HTTPS, aniž by byla explicitně kódována tak, aby ji podporovala.
Google říká ve výchozím nastavení povolí DoH pro 1 % uživatelů počínaje verzí Chrome 79, jejíž vydání se očekává 10. prosince 2019. Až bude tato verze vydána, budete také moci přejít na stránku chrome://flags/#dns-over -https pro jeho aktivaci.
Mozilla říká v roce 2019 všem povolí DNS přes HTTPS. V současné stabilní verzi Firefoxu můžete tuto možnost najít v nabídce > Možnosti > Obecné, přejděte dolů a klikněte na „Nastavení“ v části Nastavení sítě. Aktivujte „Povolit DNS přes HTTPS“.
Apple zatím nekomentoval plány DNS přes HTTPS, ale očekávali jsme, že společnost bude následovat a implementovat podporu v iOS a macOS spolu se zbytkem industry.y
Ve výchozím nastavení to zatím není povoleno pro všechny, ale DNS přes HTTPS by mělo po dokončení učinit používání internetu soukromějším a zabezpečenějším.
Proč proti tomu Comcast lobuje?
Zatím to nezní příliš kontroverzně, ale je to tak. Comcast zjevně lobboval na kongresu, aby zabránil Googlu zavádět DNS přes HTTPS.
V prezentaci představené zákonodárcům a získané Základní deska, Comcast tvrdí, že Google sleduje „jednostranné plány“ („spolu s Mozillou“) na aktivaci DoH a „[centralize] většinu celosvětových dat DNS s Googlem“, což by „znamenalo zásadní posun v decentralizované povaze architektury internetu“.
Hodně z toho je, upřímně řečeno, falešné. Marshell Erwin z Mozilly řekl Motherboard, že „snímky jsou celkově extrémně zavádějící a nepřesné“. V příspěvku na blogu produktový manažer Chrome Kenji Beaheux poukazuje na to že Google Chrome nebude nikoho nutit ke změně poskytovatele DNS. Chrome se bude řídit aktuálním poskytovatelem DNS systému – pokud nepodporuje DNS přes HTTPS, Chrome nebude používat DNS přes HTTPS.
A v době od té doby Microsoft oznámil plány na podporu DoH na úrovni operačního systému Windows. Vzhledem k tomu, že to přijaly Microsoft, Google a Mozilla, jde jen stěží o „jednostranné“ schéma od Googlu.
Někteří se domnívali, že Comcast nemá rád DoH, protože již nemůže sbírat data vyhledávání DNS. Nicméně, Comcast má slíbil není to špehování vašich DNS vyhledávání. Společnost trvá na tom, že podporuje šifrované DNS, ale chce „spolupráci, celoodvětvové řešení“ spíše než „jednostrannou akci“. Zasílání zpráv Comcastu je chaotické – jeho argumenty proti DNS přes HTTPS byly jasně míněny pro oči zákonodárců, nikoli pro veřejnost.
Jak bude fungovat DNS přes HTTPS?
Necháme-li stranou podivné námitky Comcastu, pojďme se podívat na to, jak bude DNS přes HTTPS skutečně fungovat. Když se v Chrome spustí podpora DoH, Chrome bude používat DNS přes HTTPS pouze v případě, že to aktuální server DNS systému podporuje.
Jinými slovy, pokud máte Comcast jako poskytovatele internetových služeb a Comcast odmítne podporovat DoH, Chrome bude fungovat jako dnes bez šifrování vašich DNS vyhledávání. Pokud máte nakonfigurovaný jiný server DNS – možná jste zvolili Cloudflare DNS, Google Public DNS nebo OpenDNS, nebo možná servery DNS vašeho poskytovatele internetových služeb podporují DoH – Chrome použije šifrování pro komunikaci s vaším aktuálním serverem DNS a automaticky „upgraduje“ spojení. Uživatelé se mohou rozhodnout přejít od poskytovatelů DNS, kteří nenabízejí DoH – jako je Comcast – ale Chrome to automaticky neudělá.
To také znamená, že žádná řešení pro filtrování obsahu, která používají DNS, nebudou přerušena. Pokud používáte OpenDNS a nakonfigurujete blokování určitých webových stránek, Chrome ponechá OpenDNS jako váš výchozí server DNS a nic se nezmění.
Firefox funguje trochu jinak. Mozilla se rozhodla jít s Cloudflare jako poskytovatelem šifrovaného DNS pro Firefox v USA. I když máte nakonfigurovaný jiný DNS server, Firefox odešle vaše DNS požadavky na DNS server 1.1.1.1 Cloudflare. Firefox vám to umožní zakázat nebo použít vlastního šifrovaného poskytovatele DNS, ale Cloudflare bude výchozí.
Microsoft říká, že DNS přes HTTPS ve Windows 10 bude fungovat podobně jako Chrome. Windows 10 se bude řídit vaším výchozím serverem DNS a povolí DoH pouze tehdy, pokud to váš vybraný server DNS podporuje. Microsoft však říká, že „uživatele a správce Windows, kteří mají zájem o ochranu soukromí“, provede nastavením serveru DNS.
Windows 10 vás může vyzvat, abyste přepnuli servery DNS na servery, které jsou zabezpečeny pomocí DoH, ale Microsoft říká, že systém Windows přepnutí neudělá za vás.