Trusted Recursive Resolver (TRR) и DNS over HTTPS (DoH)

Когда люди объясняют, как браузер загружает веб-страницу, то обычно объясняют это так:

1. Ваш браузер делает запрос GET на сервер.
2. Сервер отправляет ответ, который представляет собой файл, содержащий HTML.

Эта система называется HTTP.

Но эта схема слишком упрощена. Ваш браузер не разговаривает напрямую с сервером. Наверное потому что они не близки друг другу.

Сервер может быть за тысячи километров. И вероятно, между вашим компьютером и сервером нет прямой связи.

Таким образом, прежде чем запрос попадёт из браузера на сервер, он пройдёт через несколько рук. То же самое верно для ответа.

Я думаю об этом как о школьниках, передающих друг другу записки в классе. Снаружи в записке написано, кому она предназначена. Ребёнок, написавший записку, передаст её соседу. Затем тот следующий ребёнок передаёт её одному из соседей — вероятно, не конечному получателю, а тому, кто находится в нужном направлении.

— Псст… передай это Сэнди

Проблема в том, что любой по пути может открыть записку и прочитать её. И нет никакого способа узнать заранее, по какому пути будет проходить записка, поэтому неизвестно, какие люди получат доступ к ней.

Она может оказаться в руках людей, которые сделают вредные вещи…

Например, поделятся содержанием записки со всеми.

— О, это пикантно…. Эй народ! Дэнни влюбился в Сэнди!

Или изменят ответ.

— Я тебе тоже нравлюсь?

— Хе-хе, подшучу над ним и напишу «Нет»...

Чтобы устранить эти проблемы, создана новая безопасная версия HTTP. Она называется HTTPS: это словно замок на каждом сообщении.

Только браузер и сервер знают комбинацию для снятия блокировки. Даже если сообщения проходят через несколько маршрутизаторов, только вы и веб-сайт фактически можете прочитать содержимое.

Это решает многие вопросы безопасности. Но между вашим браузером и сервером всё еще есть незашифрованные сообщения. Значит, люди на пути всё ещё могут вмешиваться в ваши дела.

Например, данные по-прежнему открыты во время установки подключения. При отправке исходного сообщения на сервер вы также отправляете имя сервера в поле “Server Name Indication”. Это позволяет операторам сервера запускать несколько сайтов на одном компьютере и в то же время понимать, с кем вы хотите связаться. Этот первоначальный запрос — часть установки шифросвязи, но сам первоначальный запрос не шифруется.

Другое место, где данные открыты — это DNS. Но что такое DNS? Узнаете в следующем посте.

Источник: Habr (m1rko), Mozilla.