Судя по ряду обновлений в репозитории проекта AOSP (Android Open Source Project), инженеры Google приступили к тестированию экспериментального протокола, предназначенного для шифрования DNS-трафика и предотвращения его перехвата. Появление этой опции в параметрах разработчика Android указывает на то, что после успешного тестирования DNS over TLS может появиться в новых версиях этой ОС, в частности 8.1.

Проблема, которую решает новый протокол, — незащищенность DNS-запросов, которые передаются через UDP/TCP в незашифрованном виде. Реализация DNS over TLS обеспечивает шифрование DNS-запросов на уровне, сопоставимом с HTTPS.

Применение DNS over TLS позволит скрыть содержимое DNS-запросов и добиться большей приватности, поскольку интернет-провайдер не сможет сопоставлять конкретному пользователю список посещенных им сайтов (и хранить соответствующую информацию). Шифрование DNS с помощью TLS еще в мае предложили представители IETF, подчеркнув недостаточно активную работу над вопросом защиты трафика между DNS-клиентом и сервером.

Чтобы шифрование запросов работало, используемый DNS-сервер должен поддерживать DNS over TLS (пока большинство серверов этого не могут). Однако даже в этом случае DNS-запросы будут зашифрованы только на время передачи, а сам сервер DNS over TLS будет расшифровывать их — а значит, иметь к ним полный доступ. Использование DNS over TLS на данном этапе является в большей степени компромиссным решением, вносящим вклад в повышение приватности и наиболее эффективным при работе с доверенными DNS-серверами и VPN.

Кроме требований к серверу, в реализации DNS over TLS на устройствах с Android есть и другие сложности. Так, для смены мобильного DNS-адреса на смартфоне понадобятся права корневого доступа или VPN. Кроме того, разработчики предупреждают, что использование DNS over TLS повышает требования к объему памяти устройства и вычислительной мощности центрального процессора, а также увеличивает временную задержку при начале сессии.

Категории: Главное, Кибероборона