Protokol DNS-over-HTTPS (DoH) má sloužit k překonání cesty mezi aplikací (například prohlížečem) a DNS resolverem někde hluboko v internetu. Komunikace tak efektivně obchází místní infrastrukturu a šifrovaným kanálem se bezpečně dostává až k cílovému resolveru, který dotaz vyřídí a stejným kanálem pošle odpověď. O vlastnostech protokolu jsme podrobně psali v samostatném článku.
Cílem je zajistit pro uživatele lepší soukromí, pokud se rozhodne nedůvěřovat místní síti. Ta může například sledovat jeho provoz, měnit některé odpovědi nebo je naopak cíleně blokovat. Že to není jen teoretická hrozba už bylo několikrát prokázáno [PDF]. Protože stařičký protokol DNS neobsahuje možnost přenos nijak šifrovat či chránit, není možné přímo pomocí něj situaci vyřešit.
Tady nastupují protokoly jako DNS-over-TLS či DNS-over-HTTPS. Zdá se, že se komunita zatím více orientuje na druhý jmenovaný, který je sice výrazně mladší, ale dovoluje využit současnou HTTPS infrastrukturu včetně všech nástrojů. Tvůrci prohlížeče Firefox už protokol implementovali, začali s experimenty a mají první výsledky.
Prohlížeč je připraven
DNS-over-HTTPS ovšem potřebuje také druhou stranu – resolvery schopné novým protokolem komunikovat. Prohlížeč Firefox už obsahuje uživatelské rozhraní pro konfiguraci DoH, ve výchozím stavu je ale podpora protokolu vypnutá a připraven je pouze jeden výchozí resolver – Mozilla má zvláštní dohodu s Cloudflare. Pokud chcete podporu DoH zapnout, navštivte dialog pro konfiguraci připojení.
Pokud si podporu zapnete, můžete pak provést jeden ze dvou webových testů a ověřit funkčnost. Výsledek by měl vypadat nějak takto:
Prohlížeč je tedy připraven, ale funkce není ve výchozím stavu zapnutá a seznam důvěryhodných DoH resolverů je zatím prázdný.
Plány jsou na stole
Mozilla už v tomto směru otevřeně popsala své plány. V každé instalaci Firefoxu bude připravena sada Trusted Recursive Resolvers (TRR), tedy důvěryhodných resolverů. Ty se mohou lišit podle regionů a některé můžeme najít jen v instalacích pro určité státy. Uživatel bude informován o tom, že je DNS-over-HTTPS zapnutý a bude jej moci v tu chvíli vypnout nebo tak v nastavení učiní kdykoliv v budoucnu.
Důležité také je, že v konfiguraci bude možné některé TRR odstranit, přidat vlastní nebo funkci úplně vypnout a spolehnout se jen na DNS v lokální síti. Správce počítače bude moci také vše konfigurovat na dálku, například pomocí Správy aplikací a mobilních zařízení (MDM) ve Windows. Síť ovšem nebude mít možnost nijak jednoduše (třeba pomocí DHCP) nadiktovat své vlastní TRR – vedlo by to opět ke snadné možnosti ovlivnit uživatelův překlad adres.
Kdo bude důvěryhodný
Už teď existuje asi patnáct veřejně dostupných resolverů podporujících DoH. Mezi provozovatele patří Google, Cloudflare, Quad9, PowerDNS a další. Ty si můžete v experimentálním nastavení přidat do prohlížeče a po aktivaci je budete používat. Otázkou ovšem je, kdo z nich se kvalifikuje mezi TRR a bude uživatelům předinstalován.
Mozilla vydala vlastní politiku, podle které bude posuzovat, zda daný resolver do seznamu přidá. Podle Marshalla Erwina z Mozilly je soukromí na prvním místě. Politika se zaměřuje na tři oblasti:
- omezení sledování a ukládání dat v resolveru
- zajištění transparentnosti při jakémkoliv ukládání dat
- omezení potenciálního zneužití resolveru k blokování přístupu či pozměňování obsahu
TRR zejména nesmí prodávat a předávat žádná uživatelská data, pokud to nevyžaduje zákon. Nesmí také dostupná data kombinovat tak, aby bylo možné identifikovat konkrétního uživatele. Mozilla si v pravidlech zachovává výhradní právo rozhodnout o tom, kdo bude či nebude mezi TRR zařazen. Zejména s ohledem na nekorektní praktiky či jiné v dokumentu nespecifikované bezpečnostní problémy. Vyhrazuje si také právo zveřejňovat informace o tom, kdo tyto podmínky porušil.
Zatím nevíme kdy
Představitelé Mozilly se zatím zdráhají mluvit o konkrétních termínech. Není totiž přesně jasné, kdy se podaří vybrat důvěryhodné resolvery a kdy přejde DoH ve Firefoxu z režimu opt-in do opt-out. Jisté jen je, že k tomu vývoj směřuje.
Současné plány stále počítají s tím, že si uživatel bude moci podporu DoH jednoduše vypnout nebo si spustit vlastní resolver. Na několika svobodných implementacích už se pracuje a v některém z dalších článků si je vyzkoušíme nainstalovat a přidat si je do prohlížeče.