Bezpečnost | Chrome | Šifrování | HTTPS

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

  • Šifrovaný web je dnes už samozřejmost
  • Jeden díl skládačky ale ještě chybí – DNS
  • Firefox už začal a teď se na šifrované DNS chystá i Chrome

Ať už máte Google rádi, anebo mu nemůžete přijít na jméno, jednu věc mu upřít nelze. Byl to právě on, kdo před lety začal masivně podporovat šifrovaný web skrze protokol HTTPS, který nejprve nasadil prakticky na všechny své služby a následně k tomu samému přinutil i všechny ostatní na internetu.

Komu se to nelíbilo, riskoval snížené řadící skóre mezi výsledky vyhledávače, případně varování v dnes zdaleka nejrozšířenějším prohlížeči Chrome, který uživatele aktivně upozorňuje na webové stránky, které žádné šifrování nenabízejí.

86678fdf-30c0-4c29-bc03-a1bb22b1ed88
Šifrování je samozřejmost, a tak na něj Chrome nijak výrazně neupozorňuje
bfdd4748-4052-4376-bfe0-3bc1f979aedc
Naopak varuje před weby, které šifrování doposud nepoužívají

Jistě, faktický monopol zde silou přinutil ostatní k akci, což může na jednu stranu vzbuzovat jisté emoce, nicméně jen díky tomuto kroku je dnes šifrování HTTPS norma. Přitom ještě před deseti lety se jednalo o technologii, kterou běžné weby používaly leda tak v sekci přihlašování, aby případný záškodník nemohl odposlechnout login a heslo cestující mezi prohlížečem a webovým serverem.

Šifrování HTTPS je pouhý začátek

Šifrované spojení HTTPS dnes podle statistik Chromu tvoří dle platformy 73-95 % veškerého spojení na webu, což je skvělá správa, která zamezila hromadě poměrně snadných lumpáren, kdy jste mohli třeba kolegovi v kanceláři na stejné síti LAN velmi snadno odcizit identitu na Facebooku a mnoha dalších službách, které veškerá data posílaly v nešifrované podobě.

9a18a264-f295-4b5a-b329-dae2df925e81
Všudypřítomné HTTPS podle telemetrických dat Googlu

HTTPS je nicméně pouhý začátek. Google a Mozilla se už připravují na nástup další fáze šifrování, které surfování na webu ještě více skryje před zraky všech ostatních, ať už to bude správce sítě ve vašem podniku, anebo třeba poskytovatel domácího internetového připojení.

Jak funguje DNS systém

Jedna důležitá věc se při brouzdání po webových stránkách stále šíří nezabezpečeně. Aby všichni pochopili, která to je, pojďme si stručně zrekapitulovat, co se vlastně ve webovém prohlížeči stane, když do něj vyťukáte adresu svého nejoblíbenějšího webu Živě.cz.

Internetová doména zive.cz je ve skutečnosti pouhá náhražka skutečné identifikační adresy v internetové síti – IP adresy. Jak se internet už před desetiletími rozrůstal a rozrůstal a připojených počítačů postupně přibývalo, inženýři brzy pochopili, že není v lidských silách pamatovat si složité numerické identifikátory těch, které nabízejí nějaké služby – třeba zrovna webové stránky.

A tak vytvořili docela jednoduchý decentralizovaný systém doménových jmen DNS, kdy si mohl každý zaregistrovat pro IP adresu svého počítače textovou a pro člověka snadno zapamatovatelnou přezdívku. Doménové jméno.

Nejprve přeložím doménu, pak začnu šifrovat

Doménové jméno zive.cz se skládá z domény I. řádu, tedy cz, a z domény II. řádu, tedy zive. Když celé jméno vyťukáte do prohlížeče, program se dotáže speciálního DNS serveru, který si vede databázi doménových jmen a k nim patřících IP adres.

DNS server poté vašemu počítači odpoví, že je k doménovému jménu zive.cz zaregistrovaná IP adresa 85.207.58.49. Nyní už prohlížeč ví, kde sídlí mašina našeho webového serveru a teprve v tento okamžik se s ním spojí a otevře šifrované spojení. Cokoliv dalšího bude pro všechny prostředníky nadobro skryto za snad dostatečně silným klíčem použité šifry.

28d00205-89de-49d9-a376-24dbd8678d40
Automatické nastavení parametrů sítě ve Windows a podnikové DNS servery

DNS server je součástí konfigurace vašeho poskytovatele internetového připojení, stejně tak si ale můžete zvolit nějaký alternativní. Proč byste to dělali? Nu, výchozí server nemusí být dostatečně rychlý, takže mu může odpověď trvat o pár milisekund déle než u jiného, a zároveň si nemusí tak rychle synchronizovat databázi doménových jmen.

8.8.8.8 a 1.1.1.1

Představte si, že bych si teď chtěl zaregistrovat novou doménu jestelepsizive.cz. Než bude všem na internetu dostupná, musí se nový záznam v databázi rozšířit na všechny klíčové DNS servery. Proto se před lety na scéně objevily alternativní DNS autority, třeba Google Public DNS (8.8.8.8), anebo v nedávné době 1.1.1.1 od Cloudflaru, které slibují bleskovou synchronizaci, kdy nové doménové jméno zaregistrují prakticky okamžitě, zatímco mnohé menší servery se o tom dozví třeba až za pár hodin.

6eb76aff-cd1e-4dad-9045-530d7fe885f4
Nastavení DNS serveru pro připojení k síti ve Windows

Navíc nabízejí lepší zabezpečení proti častým phishingovým útokům na DNS systém, kdy se útočník snaží po cestě přepsat DNS odpověď na vlastní server, takže namísto na našem webu byste skončili na nějakém malwarovém. Do třetice pak přinášejí i lepší odolnost třeba proti DoS, takže nehrozí, že je někdo přetíží a vám přestane fungovat World Wide Web, jelikož DNS server přestane stíhat odpovídat, ke kterému doménovému jménu patří která IP adresa.

DNS je onou poslední nešifrovanou věcí

Tak, po stručné rekapitulaci, co je to vlastně Domain Name System, zpět do současnosti. DNS je právě onou poslední věcí, která zatím není povětšinou šifrovaná. Pokud vás tedy začnu ve stejné síti odposlouchávat, sice se nedozvím, co budete dělat na webu X od okamžiku, kdy s jeho serverem navážete šifrované spojení, nicméně pokud prohlížeč nebude získávat DNS záznamy z lokální paměti a bude se skutečně dotazovat intranetového nebo internetového DNS serveru, tyto požadavky docela snadno zachytím třeba v populárním paketovém slídilovi Wireshark.

Na stejném principu je založená primitivní, nenáročná, a právě proto i zdaleka nejrozšířenější forma blokování zakázaného obsahu na webu ze strany internetových poskytovatelů. Jednou z databází zakázaných webů je třeba tuzemský registr ilegálních internetových her, který spravuje Ministerstvo financí ČR.

0c5cad36-4ca7-4cac-b453-cb6c58ee3b3f
Český státní blacklist zakázaných sázkových her na internetu

Český státní blacklist k dnešnímu dni obsahuje desítky internetových domén, přičemž ta poslední – bet2u.com – se na seznam dostala na sklonku letošního července. Tuzemští poskytovatelé internetu mají povinnost zamezit v přístupu na tuto doménu, což zpravidla provádějí právě tak, že na svých vlastních DNS serverech blokují požadavky na zjištění IP adresy pro tyto domény. Většinou se jedná o weby, které používají HTTPS šifrování, takže ani žádnou jinou možnost prakticky nemají.

Tento typ pokusu o blokaci snadno obejdeme změnou DNS serveru na nějakého zahraničního důvěryhodného poskytovatele, který se českou legislativou řídit nemusí (ani o ní nemá páru) a web bet2u.com se v prohlížeči opět bez problému zobrazí.

Firefox už experimentálně šifruje, teď se přidává i Chrome

Google a Mozilla nicméně chtějí jít mnohem dál, a pokud dnes už běžně šifrujeme samotnou webovou komunikaci, hodlají stejným způsobem šifrovat i ono dotazování na DNS server. Pokud by se tak stalo, tato technika blokování a filtrování webu okamžitě přestane fungovat, protože poskytovatel připojení přestane mít jakoukoliv kontrolu nad tím, kde zrovna surfujete. Jediné, co uvidí, bude to, že se váš prohlížeč spojil s DNS serverem, který nabízí šifrované spojení, no a pak už jen nekonečný sled binárního šumu.

DNS over HTTPS

Samotná technika se jmenuje DoH, případně DoT – DNS over HTTPS, respektive DNS over TLS, Firefox ji už v testovacím režimu nabízí nějaký čas a nyní se pomalu přidává i Chrome.

Funkci zatím musíte ve stabilní verzi Chromu aktivovat speciálním parametrem, počínaje příští verzi Chrome 78 se už ale u vybraných DNS serverů, které tuto funkci podporují, může aktivovat automaticky.

Dnes se nabízí třeba právě služba 1.1.1.1 od Cloudflaru, která šifrované DNS nabízí, a to i ve své mobilní aplikaci, nicméně seznam je mnohem delší a čítá desítky experimentálních služeb.

Jak vyzkoušet šifrované DNS v Chromu

Pokud máte aktuální verzi Chrome 77, musíte ji spustit s novým parametrem příkazové řádky, který aktivuje šifrované DNS a zároveň bude používat předem stanovený DNS server s jeho podporou. 

Návod níže aktivuje šifrované DNS pomocí serveru 1.1.1.1 od Cloudflaru, který už DNS over HTTPS podporuje.

Program chrome.exe je tedy třeba spustit s tímto parametrem:

--enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2F1.1.1.1%2Fdns-query/method/POST

V případě Windows můžete parametr vložit do spouštěcího příkazu zástupce pro prohlížeč Chrome třeba v nabídce Start.

81e756b3-c951-467d-9418-421385e88811296466e8-0803-4538-b839-a9891c65001622165303-4295-4bad-8d6c-d2e1219867b0
Vložení parametru v zástupci Windows

Následně je třeba Chrome kompletně restartovat – včetně hlavního programu běžícího zpravidla na pozadí. Poté se již program spustí s aktivním šifrováním DNS, o čemž se můžeme přesvědčit na webové adrese 1.1.1.1/help. Pokud bude vše fungovat, v políčku Using DNS over HTTPS (DoH) se zobrazí Yes.

28e39e93-7354-4aab-8129-7873adbd9044f5653f2c-658a-4ddb-b5fd-98989b1f2d14
Před a po: Nyní používám v celém Chromu šifrované DNS 1.1.1.1 od CLoudflaru

Gratulujeme, od tohoto okamžiku je vaše surfování o další úroveň skryto před okolím a nikdo se už nedozví ani to, jaké domény se pokoušíte navštívit. Mějte ale na paměti, že se stále jedná o experimentální funkci, která může občas vypadávat.

Někteří to nevidí rádi

Jelikož je technika a její podpora ze strany některých prohlížečů zatím stále experimentální, nastavení se ještě může v průběhu času měnit, nicméně ostré nasazení ze strany Googlu se blíží mílovými kroky, a tak se už zejména v zámoří začínají ozývat někteří velcí hráči z řad internetových poskytovatelů.

DoH/DoT by totiž mohl znesnadnit jejich praktiky síťové (ne)neutrality, kdy právě skrze DNS mohou různě měnit kvalitu samotné služby. Argumentace je přitom prakticky totožná jako v minulosti a ostře namířená právě proti Googlu a jeho Chromu jakožto monopolu na poli webových prohlížečů.

Pokud totiž techniku jednou Google aktivuje ve svém Chromu jako výchozí způsob pro DNS, surfování začne ještě větší měrou připomínat kompletně šifrovaný VPN tunel, který před okolím navíc skryje i vaši skutečnou IP adresu. Něco takového by se samozřejmě nelíbilo žádnému cenzorovi a soudním nařízením, které poskytovatelům přikazují blokovat v přístupu třeba na nejrůznější pirátské stránky a další pofidérní obsah.

Šifrování je normální a je to dobře

Přesto, šifrované DNS je přirozeným a evolučním vyústěním snah o lepší zabezpečení internetu v poslední dekádě. Takže chtě nechtě, během několika příštích let se z něj stane samozřejmost a optikou koncového uživatele je to skvělá zpráva, ať už nakonec dělá na webu cokoliv.

Diskuze (96) Další článek: Facebook „zaklekl“ na stovky arabských účtů. Šířily propagandu

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,