Как и ожидалось, ответ на имплементацию DoH в браузере Firefox воспоследовал очень быстро.
Вот и Хромиум туда же:
https://blog.chromium.org/2019/09/experimenting-with-same-provider-dns.htmlУже в 78 сборке (текущая — 77) будет имплементирован собственный DNS-over-HTTPS. Плановая дата выхода "стабильной версии" — 22 октября.
А поскольку возможностей у Google все же больше, чем у Mozilla, то и масштабность внедрения будет сильно больше. Например, Хром будет использовать сразу шесть провайдеров секурных DNS:
1. Cleanbrowsing
2. Cloudflare
3.
DNS.SB4. Google
5. OpenDNS
6. Quad9
пруф:
https://www.chromium.org/developers/dns-over-httpsНу, и еще раз, наверное, нужно объяснить "как это работает":
Браузер (при включенной галке) будет самостоятельно обращаться к DNS за разрешением доменного имени в IP-адрес (резолвинг) к одному из доверенных провайдеров. При этом там имеется механизм оптимизации — если, например, скорость резолвинга от DoH хуже каког-то порога, то для непрерывности работы будет использоваться "обычный DNS". Но со временем сервисов DoH станет много.
Далее. Если запрашиваемый ресурс находится на инфраструктуре партнерской CDN, то разрешаться будет "эффективный IP-адрес" именно этой CDN-сети. Какой именно — куча алгоритмов, которые очевидно будут еще всячески дорабатываться. Ну, например, с "наименьшим пингом". Это очень упрощенно, конечно. Про механизм TRR я сам пока читаю. Там много:
https://wiki.mozilla.org/Trusted_Recursive_ResolverИ ежели на CDN еще и работает механика eSNI (защищенного установления шифрованного соединения), то блокировки РКН в текущей архитектуре перестанут работать от слова абсолютно.
eSNI — там еще более сложные алгоритмы, читать тут:
https://habr.com/ru/company/globalsign/blog/427563/И этот вот хваленый DPI здесь тоже работать перестанет. Ну, потому что для DPI весь трафик будет выглядеть как хаотичный обмен HTTPS-запросами между рандомными хостами. И нет там никаких паттернов и сигнатур — они могут быть вообще любые и меняться тремя строчками в клиент-серверном ПО.
Разумеется, сайты, которые хостятся на дедовских технологиях и не используют CDN-инфраструктур, в этой игре участвовать не будут. Их будут блокировать, да.
Потому, главный вывод из всех этих букв:
Есть подозрение, что те хостинги, которые не включатся в игру CDN-DoH-eSNI просто проиграют конкуренцию. На месте хостингов я бы УЖЕ прямо вот сейчас бы начал озадачиваться партнерскими программами с мировыми CDN. Ну, и вот оно окно для стартапов по строительству собственных сервисов, да. Даю год тому как 80% всего интернета будет работать именно так.
Причины (кроме толерантности к мудакам из РКН):
1. Быстрый и элластичный к внезапным нагрузкам хостинг
2. Устойчивость к DDoS
3. Оптимальное использование ресурсов
