Блокировка сайтов на базе DNS скоро перестанет работать?

Уже более трех десятилетий блокировка сайтов на основе DNS используется для запрета доступа пользователей к определенным сайтам в Интернете. Судебные решения могут обязывать Интернет-провайдеров блокировать доступ своих клиентов к определенным веб-ресурсам.

Это могут быть пиратские сайты, сайты для взрослых или любые другие сайты, доступ к которым запрещен по решению суда. Блокировка на основе DNS — простая форма блокировки доступа к сайту.

DNS используется для преобразования доменного имени сайта, например comss.one в соответствующий IP-адрес, который компьютер использует для соединения. Блокировка не позволяет выполнить поиск, и в результате сайт не может быть открыт на устройстве пользователя. Иногда на экране появляется другая страница, информирующая пользователя о блокировке (зависит от провайдера).

Блокировка на основе DNS никогда не была эффективной. Пользователи могут использовать на своих устройствах различные DNS-провайдеры. Во всех современных ОС переключение на нового провайдера занимает всего несколько кликов. Это можно сделать как в любом браузере, так и в рамках всей системы. Для этого также могут быть полезны сторонние программы, например QuickSet DNS или YogaDNS. Также для обхода блокировки можно использовать VPN-сервисы и прокси-серверы.

Существуют веские причины для смены DNS-провайдера. Одна из них — производительность. Сервис Namebench помогает пользователям найти лучшего провайдера путем проведения сравнительных тестов. Другая причина — безопасность. Некоторые DNS-провайдеры, например Comss.one DNS, поддерживает расширенные функции безопасности, которые не используются многими стандартными провайдерами, которые часто являются поставщиками услуг Интернета.

В последние годы широкое распространение получило шифрование DNS. Технология DNS-over-HTTPS играет важную роль, но при ее использовании все равно происходит утечка доменного имени. Это означает, что провайдеры по-прежнему могут блокировать доступ к сайтам на уровне DNS или продавать собранную информацию.

Внедрение в браузеры технологии Encrypted Client Hello (ECH) изменило данную ситуацию. ECH скрывает доменное имя при поиске, так что интернет-провайдеры или операторы сети просто не знают, к какому ресурсу обращается пользователь в Интернете. Это серьезный шаг в сторону конфиденциальности, поскольку он не позволяет провайдерам фиксировать и продавать данные пользователя, а также взаимодействовать с определенными запросами.

Mozilla представила поддержку Encrypted Client Hello в Firefox 118, а недавно данная функция безопасности стала поддерживаться в проекте Chromium. Вы можете проверить свой браузер с помощью инструмента Browsing Experience Security Check от CloudFlare.

Побочным эффектом повышения конфиденциальности является потеря эффективности блокировки на основе DNS. Интернет-провайдер или оператор сети теряет доступ к информации о целевом доменном имени, поскольку оно больше не предоставляется в открытом виде. Таким образом, сайты, заблокированные на уровне DNS, по-прежнему доступны для посещения, если они поддерживают Encrypted Client Hello.

В этом месяце Cloudflare включила поддержку Encrypted Client Hello для всех своих управляемых сайтов. Как следствие, миллионы сайтов уже поддерживают Encrypted Client Hello, а в будущем к ним присоединятся еще многие веб-ресурсы.

Портал Torrentfreak сообщает, что в настоящее время результаты смешанные. Сайты, использующие Cloudflare для защиты или включившие Encrypted Client Hello на своих серверах, больше не блокируются на уровне DNS в странах, в которых они заблокированы. Для заблокированных сайтов, не использующих Encrypted Client Hello, ничего не изменилось, но вполне вероятно, что в будущем они перейдут на его использование.

Пока рано говорить о том, как это повлияет на местное законодательство и решения по блокировке доступа к сайтам. Суды могут потребовать от провайдеров использовать другие методы блокировки, например технологию Deep Packet Inspection (DPI).