В чём безопасность DNS over HTTPS?

Назначение DNS over HTTPS — это повышение конфиденциальности и безопасности. При использовании этого протокола провайдер не может видеть мои DNS‐запросы и не знает доменное имя запрашиваемого мой ресурса, однако ему ведь по‐прежнему известен IP‐адрес сайта на который я захожу. Если провайдер знает IP‐адрес, то он же может его сопоставить с названием сайта и таким образом узнать куда я захожу?

Верно ли я понимаю, что шифрованный DNS-трафик защитит меня от злоумышленников, которые в ином случае могли бы прослушать канал связи и перехватить незащищенные данные, но интернет-провайдер всё равно будет знать о посещаемых мною ресурсах и DNS over HTTPS не сможет сделать его менее осведомлённым о моих действиях в сети?
  • Вопрос задан
  • 362 просмотра
Пригласить эксперта
Ответы на вопрос 4
vabka
@vabka
Токсичный шарпист
Если провайдер знает IP‐адрес, то он же может его сопоставить с названием сайта и таким образом узнать куда я захожу?

Одному ip может соответствовать очень много разных доменов => в общем случае сложно определить, какой именно сайт ты решил посетить.
Правда ещё существует DPI, которому побоку.


Верно ли я понимаю, что шифрованный DNS-трафик защитит меня от злоумышленников, которые в ином случае могли бы прослушать канал связи и перехватить незащищенные данные

А ещё нельзя подменить ответ от dns-сервера. Да только злоумышленник тут почти всегда - провайдер.
Ответ написан
mayton2019
@mayton2019
Bigdata Engineer
Существует атака когда человек посередине канала (man in the middle) подсовывает свой dns и вы,
заходя в свой банковский кабинет попадаете на сайт-обманку. Дальше могут быть разные сценарии
но в целом доверие к доменному имени базируется просто на предположении что вы точно-точно
знаете что зашли в СВОЙ банк а не в фейковый.

Возможно DNS over https решает эту проблему ведь человек посередине уже не может вклиниться в
https соединение. Хотя и здесь тоже можно рассуждать на тему браузера и того какие сертификаты
изначально там установлены. Кто вам устанавливал браузер и сами сертификаты. Короче вопрос
нулевого доверия на каком-то этапе остается. Криптография кажется его никак не решает.
Ответ написан
Комментировать
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
DоН предназначен для нивелирования часто применяемой "мини-защиты" от провайдера, когда провайдер анализируя DNS-запросы, при получении сработки "чел запросил IP запрещенного сайта" подменяет ответ так, что ты попадаешь не на целевой сайт, а на сайт-заглушку провайдера. DoH - это, конечно полумера, потому что их список конечен и легко блокируется.
Ответ написан
Комментировать
Griboks
@Griboks
Вы всё перепутали. Буква S на конце выполняет исключительно одну единственную функцию - повзволяет вам получить подпись сервиса по ту сторону интернета. Далее ваш бразуер автоматически пробивает эту подпись по встроенной базе "безопасных" сервисов.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы