Днями Google розповів, що близько двох третин веб-сайтів в інтернеті вже використовують протокол HTTPS. Це шифрований протокол, завдяки якому зловмисникам значно складніше дізнатися, що ви робили на тому чи іншому сайті. Однак інформація про те, які сайти ви відвідали, залишається відкритою будь-кому. В Android почали тестувати функцію, яка має це закрити.
Нова функція отримала назву DNS over TLS. Вона являє собою протокол, який шифрує DNS трафік за майже таким самим принципом, як у HTTPS. Мета DNS over TLS полягає у шифруванні DNS-запитів, які робить користувач, щоб зловмисник, перехопивши їх, не зміг щось дізнатися.
Система DNS (Domain Name Server) – це найголовніша система інтернету. Без неї вам, скажімо, замість адреси techtoday.in.ua довелося б в адресному рядку набирати 139.162.150.215 – IP-адресу сайту. Можете переконатися самі, що це працює. Однак запам’ятовувати однотипні числа людині складно, тому для нас придумали посилання URL.
Запити DNS відбуваються звичайним текстом через протоколи UDP або TCP. Будь-хто, перехопивши ваш трафік, може бачити, які сайти ви відвідуєте. Хоча якщо сайт працює через HTTPS, зловмисникам буде складніше дізнатися, що саме ви на ньому робили.
Для роботи функції DNS over TLS необхідно, щоб цю систему підтримували служби DNS. Вони є, наприклад, у кожного постачальника інтернет-послуг. Якщо ваш провайдер ще не впровадив її, можна скористатися Google DNS.
Поки що DNS over TLS знаходиться на ранній стадії впровадження в Android. За попередніми оцінками, вона вперше може з’явитися у версії Android 8.1.
До речі, у жовтні інтернет-провайдери та системні адміністратори отримали команду, яку вони раніше ніколи не робили. Про це розповіла головна інтернет-організація планети ICANN, яка відповідає за DNS. У травні 2016 року вперше в історії інтернету почалася заміна криптографічних ключів, які убезпечують систему DNS. У лютому 2017 року з’явилися нові ключі (KSK), які можна було використовувати у програмному забезпеченні. У липні їх опублікували в системі DNS. Уперше ними підписали кореневу зону інтернету 11 жовтня 2017 року о 16:00 за часом UTC.
Змінити ключі вирішили для підвищення безпеки – їх зробили довшими, використавши 2048-бітний RSA-пароль. Далі цими ключами підпишуть записи DNS та створять публічні ключі. Останні дозволять розшифровувати шифровані таким чином записи DNS.
