Re: Российские TLS-сертификаты на сайтах

["Alexander Venedioukhin (via EZHE)" <ezh@ezhe.ru>]

Здравствуйте!

On Thu, 2022-03-31 at 12:39 +0300, Vsevolod Andreev wrote:
> Firefox упорно предлагает использовать DoH:
> Стоит / не стоит?
> Сам же Firefox пишет в этой статье про риски использования DoH.
> Технология надёжная?

Технология надёжная. А использовать или нет - зависит от вашей, так
сказать, модели угроз, то есть, от представления о том, что и от кого
хотите защищать. Например, если вы используете типовой DNS-резолвер
своего интернет-провайдера, то, вполне вероятно, замена на приличный
внешний сервис с DoH степень безопасности повысит.

Процитирую свою статью по теме (ссылка на полный текст - ниже):

"Системный резолвер, работающий на клиенте (компьютере пользователя),
только перенаправляет запросы внешнему рекурсивному резолверу. В
классическом варианте DNS-трафик не зашифрован. Это означает, что, как
минимум, провайдер доступа может просматривать DNS-запросы и DNS-ответы 
в обоих случаях: и при использовании рекурсивного резолвера провайдера,
и если используется внешний, незащищённый, DNS-сервер. При этом в
первом случае, когда DNS-резолвер принадлежит провайдеру д
оступа (или оператору связи, что не так важно), запросы доступны
провайдеру для анализа непосредственно на самом резолвере. Очевидно,
никакая защита канала между системным резолвером пользователя и
рекурсивным резолвером не может защитить DNS-запросы (и ответы) от
просмотра администратором рекурсивного резолвера. Если пользователь
настроил внешний DNS-сервис, - то есть сервис, не контролируемый
провайдером доступа, - то для просмотра клиентских DNS-запросов
провайдеру придётся анализировать непосредственно сетевой трафик (на
уровне протоколов UDP и TCP). Этот метод хоть и сложнее анализа на
уровне DNS-резолвера, но всё равно доступен всякому провайдеру."

https://tcinet.ru/press-centre/articles/7403/


-- 
С уважением,
Александр Венедюхин
https://dxdt.ru/

Оценить письмо Reputatio: http://ezhe.ru/reputatio/b583fc56ba