Posilnenie súkromia na internete. DNS over HTTPS (DoH) a Encrypted Client Hello (ECH)

Riešenie DoH. DNS over HTTPS

https://en.wikipedia.org/wiki/DNS_over_HTTPS 
Ako nastaviť túto službu? Je to možné nastaviť v nastaveniach prehliadača a PC alebo Mobile. V nastaveniach súkromia hľadajte slovo DNS Android Linux to umožňuje nastaviť pre celý OS. Pokročilé a výkonnejšie routery to umožňujú tiež. 
DNS resolving pri DoH nerobí priamo ISP ale delegujete pre túto úlohu inú firmu / organizáciu. https://en.wikipedia.org/wiki/Public_recursive_name_server 

V Rusku, Číne, Iráne sú tieto IT riešenia čiastočne alebo úplne blokované pretože inak by bola cenzúra internetu komplikovaná. ISP nevidí priamo akú stránku pozeráte ale musí si tieto informácie viac pracne dohľadávať resp. použiť na to IT riešenia, ktoré nie sú úplne najjednoduchšie. V masovom merítku v štátoch kde je cenzúra internetu to môže znamenať významne dodatočné náklady (vrátane hardvérových) pre ISP. 
Aj napriek tomu keď používate DoH IPS vidí IP adresu DNS servera na ktorý sa pripájate. IP adresa servera je prepojená s konkrétnou webstránkou / doménou. 
Kontrola či Váš prehliadač podporuje / má natavené DoH 
https://1.1.1.1/help
https://www.dnsleaktest.com/
https://browserleaks.com/dns

DNS over TLS

https://en.wikipedia.org/wiki/DNS_over_TLS 
Staršia alternatíva ku DoH, má špecifický port a pre cenzorov sa služba ľahšie blokuje,

Server Name Indication (SNI)

https://en.wikipedia.org/wiki/Server_Name_Indication 
Zoznámenie sa s terminológiou. Je to IT riešenie známe už cca 25 rokov Nie je samo o sebe šifrovanie. SNI je systém ktorý v prípade že na rovnakú IP je prepojených viac webov / domén, určuje na ktoré konkrétnu doménu sa chcete pripojiť. Pravdepodobne došlo ku zlyhaniu pri samotnej tvorbe HTTPS / TLS protokolu, že táto forma komunikácie dodnes nie je šifrovaná a dodatočne to tam pridať nie je jednoduché kvôli kompatibilite. Aj keď máte v prehliadači aktívne DoH, SNI nie je šifrované.

Encrypted Client Hello (ECH)

Keď som už vysvetlil princíp fungovania SNI, teraz pochopíte ako funguje nový protokol ECH. ECH šifruje SNI. Anonymita je posilnená len vtedy ak poskytovateľ DNS hostingu na jednu IP adresu registruje viac domén – typický príklad je CloudFlare. ECH samo o sebe pre ISP neskrýva IP adresu DNS servera. 
Veľká škoda, že ECH nepodporuje každá stránka ktorá má HTTPS. Podpora tejto novej technológie je zatiaľ minimálna. Slovenskí hosting poskytovatelia zväčša vyhradia na každú doménu osobitnú IP DNS adresu, takže masová podpora ECH do budúcna nie je pravdepodobná. 
Z vlastnej skúsenosti môžem potvrdiť, že CloudFlare má tieto služby nastavené ako predvolené v prípade ak máte nastavené šifrovanie nielen medzi návštevníkom a DNS serverom ale aj medzi DNS serverom a koncovým hosting serverom A. 
Technológia ECH umožňuje DNS hosting poskytovateľom registrovať na jednu kontaktnú IP adresu niekoľko desiatok alebo stoviek tisíc domén. ISP nemá ako zistiť ktorú konkrétnu doménu z niekoľko tisíc sa práve v prehliadači pozeráte. 
V prípade masovej podpory ECH u web stránok by bola miera anonymity na internete porovnateľná s VPN. 
Upozornenie: ECH bez DoH nemá zmysel. Skontrolujte si či máte v prehliadači aktivované oboje. 

Kontrola či daná stránka podporuje ECH, doplnok https://addons.mozilla.org/sk/firefox/addon/oh-my-ech/ 

Kontrola v termináli, podpora ECH, príklad príkazu, vo výstupe nájdete „ech“. Príklad konkrétnej webstránky https://defo.ie/
host defo.ie

Webstránky na kontrolu či nastavenia vášho prehliadača podporujú ECH 
Ak podporuje ECH, zobrazí sni=encrypted 
https://crypto.cloudflare.com/cdn-cgi/trace 
https://defo.ie/ech-check.php 
https://www.cloudflare.com/ssl/encrypted-sni

Nastavenie DoT / DoH pre celý Linux (Ubuntu)

Otvorenie a editácia konfiguračného súboru, dve riešenia
sudo nano /etc/systemd/resolved.conf

Alebo

kate /etc/systemd/resolved.conf

Vzorový obsah konfiguračného súboru

[Resolve]
DNS=1.1.1.1#cloudflare-dns.com 1.0.0.1#cloudflare-dns.com
DNSOverTLS=yes
DNSSEC=yes
FallbackDNS=8.8.8.8#dns.google 9.9.9.9#dns.quad9.net

Reštartovanie služby aby sa zmena v systéme prejavila
sudo systemctl restart systemd-resolved

Kontrola, či sa zmeny prejavili
resolvectl status

DNS-over-QUIC

https://en.wikipedia.org/wiki/QUIC
Nová technológia. Podporuje AdGuard Home, Control D, Quad9

DNSCrypt

https://en.wikipedia.org/wiki/DNSCrypt
DNSCrypt je alternatíva k DoH a DoT. Technológia začala byť skorej vyvýjaná ako DoH a DoT.
*******************************************************

Aké sú najznámejšie DNS resolvery

Je to trochu odbočenie od hlavnej témy ale dám to sem

Cloudflare resolver

https://en.wikipedia.org/wiki/1.1.1.1

Google Public DNS

https://en.wikipedia.org/wiki/Google_Public_DNS

DNS4EU resolver

https://joindns4.eu/
https://en.wikipedia.org/wiki/DNS4EU
Projekt Európskej komisie. Európska iniciatíva zameraná na vytvorenie bezpečného a súkromného verejného DNS resolvera.
Na Chromium Linix a Chrome Android je možné nastaviť DNS4EU resolver ako jednu z predvolených možností.
Osobne mám vyššiu dôveru v Google alebo CloudFlare ako ku DNS4EU, pretože málokto bojuje proti ochrane súkromia tak ako Európska komisia – napríklad bláznivé nápady ako Chat Control, či ďalšia chystaná legislatíva overovania veku na internete (povinné skenovanie občianskeho preukazu alebo tváre na niektorých platformách).
Ak by mala Európska komisia zlé úmysly (čo sa snažím veriť že nemá), tak vybudovaním DNS4EU je vybudovaná infraštruktúra na potencionálnu budúcu cenzúru internetu po vzore Číny či Ruska. Stačí cez legislatívu od poskytovateľov internetu povinne vyžadovať aby ako resolver povinne používali DNS4EU a žiaden iný. Keby aj nejaká fyzická osoba chcela používať cez nastavenia prehliadača iný resoler, je možné ho zablokovať, ak by mali poskytovatelia internetu takúto povinnosť z legislatívy.
DNS4EU je samo o sebe dobrá vec, avšak je tu priestor takýto projekt zneužiť zo strany politikov.
DNS4EU na jednej strane robí EU nezávislou od amerických korporácii, na strane druhej ak je to politický projekt a nie projekt súkromnej firmy, nepôsobí to tak dôveryhodne.

AdGuard DNS resolver

Testoval som, a jedná sa o čiastočné a nie veľmi spoľahlivé blokovanie reklám. V prehliadači je lepšie mať klasický doplnok typu AdBlock. Do DNS nastavení Opera, Chromium treba zadať https://dns.adguard.com/dns-query
Pre Android. Naopak veľmi pozitívnu skúsenosť s AdGuard DNS resolver mám pri globálnych nastaveniach pre celý Android. Reklamy v aplikáciach vám to bude blokovať spoľahlivo. Spoľahlivo ako blokátor reklám funguje ale len v iných aplikáciach ako prehliadač.
Do globálnych nastavení Androidu zadajte dns.adguard.com      ... Je to automaticky šifrované cez DoT
Zaujímavosť: AdGuard DNS resolver blokuje reklamy iným spôsobom ako na báze VPN filtra: to jest na princípe DoH.
 

Quad9

je bezplatná, celosvetová verejná služba DNS (Domain Name System), ktorej hlavným cieľom je zvýšiť bezpečnosť a ochranu súkromia používateľov pri prehliadaní internetu. Sídli vo Švajčiarsku a funguje ako nezisková organizácia.
************

AdGuard Home (komplexné riešenie)

https://adguard.com/en/adguard-home/overview.html
Je to Open Source projekt, čo zvyšuje transparentnosť a dôveryhodnosť. Podpora linuxu. Spravuje sa cez prehliadač, kde je možné vidieť bohaté štatistiky. Globálna podpora OS (nielen podpora konkrétnej aplikácie)
Podpora DoH, DNSCrypt a DNS-over-QUIC, atď. ...
************
Zaujímavosť: Vďaka protokolu HTTPS ISP vidí len doménu ale nie konkrétnu URL adresu ktorú si pozeráte.

Prílohy

Chrome_DoH_nastavenia_Android_2.jpg (270.4 kB)

Android_Systémové_nastavenia.jpg (457.0 kB)

Android_systémové_DoH_nastavenia.jpg (257.8 kB)

Chrome_DoH_nastavenia_Android_3.jpg (301.3 kB)

Chrome_DoH_nastavenia_Android.jpg (503.9 kB)

Chromium_DOH_nastavenia_Linux.png (200.8 kB)

Firefox_Linux_DoH_nastavenia.png (142.0 kB)

Opera_DOH_nastavenia_Linux.png (114.8 kB)

Opera_DoH_nastavenia_Android.jpg (402.1 kB)

dns-over-https.webp (26.0 kB)