Windows 10 сможет обойти блокировки сайтов

23.11.2019 Выкл. Автор agonist admin

Просмотров: 6

DNS поверх HTTPS
DNS-over-HTTPS, DoH

DNS поверх HTTPS (DoH) — экспериментальный протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Атака посредника».

2019

Внедрение в Windows 10

В ноябре 2019 года Microsoft сообщила о внедрении протокола шифрования «DNS поверх HTTPS» (DNS-over-HTTPS, DoH) в операционную систему Windows 10.

Использование технологии на практике означает возможность обхода любых блокировок запрещенных сайтов по DNS, поскольку все DNS-запросы будут передаваться в зашифрованном виде, а блокировки по IP-адресу будут преодолеваться изменением IP заблокированного адреса.

Microsoft внедряет в Windows 10 сервис, позволяющий обходить все блокировки Роскомнадзора

Microsoft внедряет в Windows 10 сервис, позволяющий обходить все блокировки Роскомнадзора

Шифрование по протоколу DNS-over-HTTPS в перспективе также может оставить не у дел методику глубокой проверки и управления сетевым трафиком Deep Packet Inspection (DPI), взятую на вооружение Роскомнадзором, поскольку фильтрация пакетов зашифрованного https-трафика со множества IP-адресов потеряет смысл.

Разработчики из подразделения Windows Core Networking Томми Дженсен, Иван Пашо и Габриэль Монтенегро предупредили, что поддержку DoH нелегко реализовать без нарушения настроек администратора в Windows-устройствах.

«
Однако мы должны относиться к конфиденциальности как к праву человека. Мы должны иметь комплексную кибербезопасность, встроенную в технологию. Бытует мнение, что шифрование DNS может осуществляться только централизованно. Это верно только в случае, если внедрение шифрования DNS не является повсеместным. Для того чтобы сохранить децентрализацию DNS, и операционные системы клиентов (например, Windows), и интернет-провайдеры должны внедрить шифрование DNS, — заявили они.
»

Компания также подчёркивает, что DoH в Windows 10 к ноябрю 2019 года имеет статус приоритетной задачи, поскольку поможет как частным клиентам, так и компаниям, которые смогут использовать уже существующую HTTPS-инфраструктуру для более быстрого шифрования DNS.

Широко распространенный стандарт DoH гарантирует, что его не нужно будет централизовать, а это должно сделать всю экосистему интернета более здоровой, уверены в Microsoft.[1]

Включение протокола DNS-over-HTTPS в браузер Google Chrome 78

13 сентября 2019 года стало известно, что разработчики проекта Chromium из компании Google объявили о планах экспериментальной обкатки протокола шифрования «DNS поверх HTTPS» (DNS-over-HTTPS, DoH) в сборке браузера Chrome под номером 78, стабильный релиз которого ожидается 22 октября 2019 года. Подробнее здесь.

Включение протокола DNS-over-HTTPS в браузер Firefox

11 сентября 2019 года стало известно, что разработчики из Mozilla Corporation сообщили об успешном испытании экспериментального протокола шифрования DNS поверх HTTPS (DNS-over-HTTPS, DoH). Он обеспечивает получение информации о домене (DNS) через криптографически защищенный протокол HTTPS. Подробнее здесь.

Как работает DNS-over-HTTPS

Для блокировки сайтов провайдерам или регуляторам требуется знать доменное имя (URL), получаемое через DNS-запрос, и IP-адрес блокируемого ресурса. В случае, если DNS-запрос скрыт шифрованием – например, с помощью протокола DNS-over-HTTPS, провайдер не сможет блокировать конкретный ресурс из-за скрытого от него URL.

 
Сравнение системы DNS и DNS-over-HTTPS

В случае, если заблокированный ресурс предоставит один IP-адрес для открытого DNS-запроса и другой для DNS-запроса с шифрованием по протоколу DNS-over-HTTPS, блокировки также станут бессильны. Техническими партнерами для реализации такой возможности выступают современные CDN-провайдеры.

Технически незашифрованный URL может быть также перехвачен через поле запроса SNI (Server Name Indication) – специальное расширение протокола TLS, в котором есть возможность сообщить имя хоста в процессе «рукопожатия» для открытия криптографически защищенной SSL-сессии.

 
Схема работы протокола TLS 1.3 со включенным Encrypted SNI

Для этих целей разработан стандарт зашифрованной передачи имени хоста – Encrypted SNI (ESNI), где клиентская система получает публичный ключ сервера из DNS и производит шифрование всех данных еще до начала TLS-сессии. По состоянию на сентябрь 2019 года ряд CDN-провайдеров, экспериментирующих с внедрением DNS-over-HTTPS, также поддерживают технологию Encrypted SNI.[2]

Источник: Tadviser