Начиная с 85-й версии, пользователи браузера Chrome для Android смогут защитить DNS-запросы от перехвата и подмены с помощью функции «Безопасный DNS». По факту речь идёт о технологии DNS-over-HTTPS (DoH), поддержка которой появилась в десктопном Хроме ещё в версии 83. Теперь это же решение станет доступно и на смартфонах с операционной системой от Google. Что это такое, зачем защищать DNS и какие альтернативные решения в индустрии существуют? Расскажем чуть ниже.
HTTPS (зелёный замочек) защищает данные от перехвата между вашим браузером и сервером посещаемого сайта. К этому, кажется, уже все привыкли. Но есть нюанс. Злоумышленники могут подменить сайт в момент его загрузки. А всё из-за DNS-запросов, которые передаются в незашифрованном виде. Что это за запросы такие?
Когда вы пытаетесь открыть сайт my-chrome.ru, вашему браузеру нужен IP-адрес этого сайта. Чтобы узнать его, он отправляет DNS-запрос с доменом сайта на сервер вашего провайдера (или на другой, если вы явно это прописали в настройках роутера). В ответ браузер получает адрес 5.101.114.201, откуда и происходит загрузка контента.
Но, повторюсь, этот запрос идёт без какого-либо шифрования. Поэтому любой злоумышленник может перехватить его и отправить в ответ адрес поддельной страницы. Этим «злоумышленником, кстати, может быть и ваш собственный провайдер, если захочет показывать заглушку с рекламой вместо определенных страниц.
Чтобы этого избежать, придумали шифровать DNS-запросы. При этом шифрование должно поддерживаться как на стороне браузера, так и на стороне DNS-сервера, что, конечно, препятствует быстрому распространению этой защиты. В индустрии применяется несколько альтернативных вариантов шифрования DNS.
К примеру, технология DNSCrypt. Со стороны публичных DNS-серверов это решение в 2011 году первым поддержала компания OpenDNS (ныне принадлежит Cisco), а со стороны браузеров — Яндекс.Браузер в 2016 (наша новость об этом). В Яндекс.Браузере пользователь может включить защиту запросов, выбрав альтернативный DNS-сервер, поддерживающий технологию DNSCrypt. Например, сервер Яндекса.
Спустя несколько лет устаканился альтернативный стандарт — DNS-over-HTTPS. Именно его поддержали в десктопном Google Chrome 83 в начале этого года.
Работает это так: можно не выбирать альтернативный сервер, но защита сработает только в том случае, если сервер провайдера поддерживает DoH и находится в специальном списке Google. А можно просто выбрать альтернативный.
Аналогично это теперь будет работать и в Google Chrome для Android. Изменение станет доступно пользователям постепенно. Кому-то повезёт раньше других. Скачайте Chrome для Android — возможно, повезёт именно вам.