Браузеры Chrome и Firefox тестируют функцию DNS-over-HTTPS (DoH)
В ответ на действия правительств стран по блокированию доступа к сайтам, разработчики браузеров Google и Mozilla провели испытания протокола шифрованных запросов DNS-over-HTTPS, запуск этой функции в перспективе означает возможность обхода любых блокировок, включая применяемую Роскомнадзором фильтрацию DPI.
Разработчики также приняли решение о включении протокола DoH в следующие версии браузеров. Пока что функция будет доступна только пользователям на территории США, о ее запуске в других странах информации пока нет.
Использование протокола DoH на практике означает возможность обхода любых блокировок запрещенных сайтов по DNS с помощью браузера Firefox, поскольку все DNS-запросы будут передаваться в зашифрованном виде, а блокировки по IP-адресу будут преодолеваться изменением IP заблокированного адреса.
Шифрование по протоколу DNS-over-HTTPS в перспективе также может оставить не у дел методику глубокой проверки и управления сетевым трафиком Deep Packet Inspection (DPI), взятую на вооружение Роскомнадзором, поскольку фильтрация пакетов зашифрованного https-трафика со множества IP-адресов потеряет смысл.
В ближайших планах разработчиков запуск DoH по умолчанию «для небольшого процента пользователей» в США. На следующем этапе разработчики планируют отслеживать возможные проблемы, и только после их устранения будут подключать более широкую аудиторию: «Если все пойдет хорошо, мы сообщим вам, когда будем готовы к 100-процентному развертыванию».
Для блокировки сайтов провайдерам или регуляторам требуется знать доменное имя (URL), получаемое через DNS-запрос, и IP-адрес блокируемого ресурса. В случае, если DNS-запрос скрыт шифрованием – например, с помощью протокола DNS-over-HTTPS, провайдер не сможет блокировать конкретный ресурс из-за скрытого от него URL.
Другой вид блокировки – по IP-адресу – регулярно практикуется провайдерами и регуляторами. В частности, Роскомнадзор блокировал и затем был вынужден разблокировать миллионы IP-адресов облачной площадки Amazon Web Services в рамках борьбы с мессенджером Telegram.
В случае, если заблокированный ресурс предоставит один IP-адрес для открытого DNS-запроса и другой для DNS-запроса с шифрованием по протоколу DNS-over-HTTPS, блокировки также станут бессильны. Техническими партнерами в этом могут выступать современные DNS-провайдеры, такие как Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS.