Разработчики из компании Mozilla Corporation сообщили об успешном испытании нового протокола шифрования «DNS-over-HTTPS» (DoH), который позволит обходить любые блокировки запрещенных сайтов по DNS с помощью браузера Firefox.
Как следует из сообщения компании, новый экспериментальный протокол шифрования DoH обеспечивает получение информации о домене (DNS) через криптографически защищенный протокол HTTPS.
Разработчики поясняют, что обход блокировки будет возможен, так как все DNS-запросы будут передаваться в зашифрованном виде, а блокировки по IP-адресу будут преодолеваться изменением IP заблокированного адреса.
Эксперты отмечают, что в случаи развития технологии шифрования по протоколу «DNS-over-HTTPS» в перспективе может стать неработоспособной методика глубокой проверки и управления сетевым трафиком Deep Packet Inspection (DPI), которой пользуется Роскомнадзор для блокировок сайтов-нарушителей российского законодательства.
Для блокировки сайтов провайдерам или регуляторам требуется знать доменное имя (URL), получаемое через DNS-запрос, и IP-адрес блокируемого ресурса. В случае, если DNS-запрос скрыт шифрованием – например, с помощью протокола «DNS-over-HTTPS», провайдер не сможет блокировать конкретный ресурс из-за скрытого от него URL.
Блокировка сайтов по IP-адресу, также станут бессильны. С появлением новой технологии ресурсы в браузере Firefox могут предоставить один IP-адрес для открытого DNS-запроса и другой для DNS-запроса с шифрованием по протоколу «DNS-over-HTTPS». Техническими партнерами в этом могут выступать современные CDN-провайдеры (Content Delivery Network – сеть доставки контента).
В итоге, фильтрация пакетов зашифрованного https-трафика со множества IP-адресов потеряет смысл.
Что касается не зашифрованных URL, то они могут быть перехвачена через поле запроса SNI (Server Name Indication) – специального расширения протокола TLS, в котором есть возможность сообщить имя хоста для открытия криптографически защищенной SSL-сессии. Для этих целей разработан и уже внедрен в Firefox стандарт зашифрованной передачи имени хоста – Encrypted SNI (ESNI), где клиентская система получает публичный ключ сервера из DNS и производит шифрование всех данных еще до начала TLS-сессии.
Запуск функциональности «DNS-over-HTTPS» в браузере Mozilla в перспективе для все интернет-русурсов означает возможность обхода любых блокировок, включая применяемую Роскомнадзором фильтрацию DPI.
В компании Mozilla Corporation уже приняли решение о включении протокола «DNS-over-HTTPS» в Firefox по умолчанию в одну из следующих версий браузера. При этом отмечается, что функция будет доступна только на территории США. О запуске протокола DoH в других странах информации пока нет.