Шифрування запитів DNS Android 9 за допомогою DNS-over-TLS (DoT)

Починаючи з Android 9, запити до DNS-сервера можуть шифруватися через DNS-over-TLS (DoT). Google і Cloudflare пропонують DNS-сервери, які підтримують цю технологію. Але є й альтернативи, яким слід довіряти з точки зору конфіденційності.

запитів

Хоча сьогодні багато веб-сайтів підтримують або навіть прописують безпечний HTTP (HTTPS), тобто з'єднання HTTP, зашифроване через TLS, шифрування зазвичай не використовується для запитів до системи доменних імен (DNS). Це не тільки дає змогу підглядати будь-які запити DNS, а й фальсифікувати їх або маніпулювати ними.

У 2017 році інформатик Домінік Геррман продемонстрував у своїй дисертації «Інтернет-адресна книга загрожує нашій конфіденційності» (PDF), як можна визначити особу користувача Інтернету за допомогою незашифрованих запитів DNS. Геррманн бачить централізацію дозволу імен, за яку відповідають такі міжнародні корпорації, як Google, OpenDNS та Smynatec. "У 2016 році лише DNS-сервери Google відповідали на понад 13 відсотків усіх запитів DNS на день".

DNS-сервер із DNS або TLS (крапка)

Google пропонує шифрування TLS на своєму загальнодоступному DNS-сервері з січня. "Починаючи з сьогоднішнього дня, користувачі можуть захищати запити між своїми пристроями та Google Public DNS за допомогою DNS-over-TLS, зберігаючи свою конфіденційність та цілісність", - сказав Google, описуючи нову функцію в дописі в блозі, не згадуючи очевидного: оскільки Google є одержувачем Запити повинні розшифрувати їх, щоб вирішити. Отже, Google все ще знає всі веб-сайти, доступ до яких здійснюється через загальнодоступний DNS.

Тож якщо ви зацікавлені у захисті приватності, краще вибрати сервер, який не належить до найбільшої в світі рекламної групи. Для цього краще підходять пропозиції від некомерційних організацій. Список DNS-серверів, які пропонують DNS-over-TLS, можна знайти, наприклад, на dnsprivacy.org та privacy-handbuch.de. Деякі сервери DNS не тільки шифрують запити DNS, але й фільтрують веб-сайти, які відображають рекламу або використовуються в шахрайських цілях, таких як фішинг.

DNS-сервер із DNS через TLS (DoT)

Android 9: Налаштування DNS-сервера за допомогою DNS-over-TLS (крапка)

На Android можливість налаштування DNS-сервера з DNS-over-TLS називається “Приватний DNS”. Він знаходиться в розділі Налаштування - Мережа та Інтернет. На смартфонах Samsung їх можна знайти в розділі Налаштування - З’єднання - Додаткові налаштування з’єднання. Там ви вводите DNS-сервер із шифруванням TLS (див. Таблицю вище). Ці налаштування застосовуються як до Wi-Fi, так і до стільникового зв'язку.

Однак немає гарантії, що вибраний DNS-сервер із шифруванням TLS буде використовуватися кожною програмою для запиту DNS. Тест із DNS-сервером, який також блокує рекламу, показує, що Інтернет-браузер Samsung, наприклад, продовжує відображати рекламу, тоді як Firefox та Chrome використовують вибраний DNS-сервер і, отже, не відображають рекламу. Тому розробники можуть обійти новий параметр "Приватний DNS". Причина цього наразі невідома. ZDNet.de зробив запит до Google та Samsung.

DNS-over-TLS в настільних операційних системах

Настільні операційні системи, такі як Linux, macOS та Windows, ще не пропонують підтримку DNS-over-TLS за замовчуванням. Якщо ви хочете зашифрувати запити DNS, вам доведеться полагодитись за допомогою інструмента Stubby, який реалізує локальну службу роздільної здатності DNS із підтримкою TLS.

Якщо ви використовуєте Firefox, ви можете використовувати шифрування DNS-over-HTTP, активуючи відповідну опцію в мережевих налаштуваннях браузера Mozilla. Там за замовчуванням вводиться DNS-сервер Cloudflare. Ви також можете налаштувати ці налаштування.