Firefox z DNS‑over-HTTPS tylko w USA. Dlaczego nie w Europie?

Najnowsza wersja przeglądarki Firefox domyślnie włącza wykorzystanie protokołu DoH, czyli DNS-over-HTTPS. Mozilla tłumaczy to chęcią zapewnienia ochrony przed nowymi typami ataku, wymierzonymi w DNS, dzięki którym możliwa jest przezroczysta podmiana treści na stronach internetowych: nie zarażając ofiary, doprowadzi się do przekierowania ruchu na podstawione serwery. Komunikacja HTTPS sprawia w dodatku, że zapytania DNS są szyfrowane, a ich wiarygodność – zapewniana przez szyfrowanie.

Komunikacja DoH jest jednak domyślnie włączona tylko w Stanach Zjednoczonych. Wiele osób odetchnie dzięki temu z ulgą, ale taki stan rzeczy jest dość podejrzany. Skoro DoH jest taki bezpieczny, czemu nie wdrożyć go od razu wszędzie? Mozilla nie odpowiada na te pytania wprost. A sam DNS-over-HTTPS wcale nie jest uniwersalnym rozwiązaniem wszystkich problemów, tworzy bowiem sporo własnych.

Należy tu brać poprawkę na amerykańskie realia. Jak podkreśla Mozilla , rynek dostawców telekomunikacyjnych jest w przeważającej większości w rękach pięciu dostawców-gigantów ISP. Ich klienci otrzymują (przez DHCP) domyślną konfigurację serwerów DNS. Rzecz jasna, ustawienia te można zmienić/nadpisać, ale to jeszcze nie oznacza, że ISP nie ma dzięki temu rozległej wiedzy o użytkowniku i wpływu na niego.

Z tym, że nawet nie używając DNS-ów od dostawcy, zależność od niego jest fundamentalna. Zastąpienie obsługi DNS własną warstwą tego nie zmieni. Ma za to trochę wad. Na przykład ignoruje ustawienia systemu operacyjnego, twierdząc że przecież wie lepiej. Co prawda informuje o tym użytkownika, ale skuteczność jednorazowego powiadomienia o włączeniu DoH jest podważalna. Po drugie, wprowadzenie alternatywnej ścieżki rozwiązywania nazw wymaga użycia jakiejś innej infrastruktury.

Wybór Mozilli jest tu istotnie "zdecentralizowany" ponieważ ich rozwiązanie nie stosuje systemu nazw o centralnym korzeniu. Zamiast tego, używana jest zamknięta lista firm, które dostarczają usługę DoH. Rzecz jasna, powstały ścisłe regulacje dotyczące tego, co wolno usługodawcom DNS-over-HTTPS i tylko firmy spełniające zdefiniowane kryteria mogą być używane. Obecnie jest to NextDNS i... CloudFlare.

Takie rozwiązanie jest zdecydowanie bardziej scentralizowane niż poprzednie. Tym razem bezpieczeństwo i jednoznaczność rozwiązywania nazw są powierzane jakiejś wielkiej firmie, której Firefox ufa ponieważ jest zgodna z jakimś papierkiem z wymaganiami. Można użyć innej. Ale po co używać którejkolwiek?

Całą sprawa jest stawiania w bardzo dziwny sposób. Znane wątpliwości i problemy pozornie są adresowane, wydano nawet dokument FAQ na temat DoH, ale po głębszej analizie można stwierdzić, że w zasadzie nie odpowiada on na żadne pytanie w pełni. Mniejsza centralizacja okazuje się większą centralizacją. Bezpieczeństwo nagle opiera się tylko na szyfrowaniu (bo DNSSec-over-HTTPS nie funkcjonuje), z użyciem certyfikatu firm trzecich.

Wreszcie, jest też brak wdrożeń w Europie. Rynek ISP jest tutaj odmienny niż w USA, ale przecież argumenty za stosowaniem DoH miały być uniwersalne. Zakładając złą wolę, można wręcz podejrzewać, że Mozilla po prostu nie chciała męczyć się na obszarze, gdzie obostrzenia prawne działają odrobinę lepiej niż w Stanach.

Ale już samo to, że zastanawiamy się, czy Mozilla nie ma tu jakichś upiornych intencji pokazuje, że firma jest dziś cieniem samej siebie z przeszłości. Stanie na straży niezależności i bezpieczeństwa internetu kiedyś wyglądała w jej wykonaniu znacznie lepiej niż dziś. Wielu fachowców odwraca się od niej. Akcje takie, jak wdrożenie DNS-over-HTTPS jej nie pomagają.

Firefox na Windowsa i macOS-a jest dostępny do pobrania z naszej bazy oprogramowania.