Việc triển khai gần đây của Firefox về DNS-over-HTTPS (DoH) cho Android đã khơi mào một cuộc thảo luận kỹ thuật về cách tiếp cận tốt nhất cho quyền riêng tư DNS. Trong khi Mozilla ăn mừng việc mang truy vấn DNS được mã hóa đến người dùng di động, cộng đồng đang đặt câu hỏi liệu việc triển khai ở cấp trình duyệt có thực sự mang lại lợi thế so với các khả năng hiện có của hệ thống Android hay không.
Cải thiện hiệu suất:
- Tăng tốc 61% cho việc tra cứu DoH từ đầu năm đến nay (phân vị thứ 75)
- Thời gian phân giải DoH hiện tại chỉ chậm hơn DNS gốc trong khoảng 1-2 mili giây
- Có sẵn trong Firefox 143 cho Android
- Hiện đang được bật mặc định tại Mỹ và Canada (phiên bản desktop)
Tin cậy và Kiểm soát: Lập luận Cốt lõi về Quyền riêng tư
Cuộc tranh luận chính tập trung vào việc phân phối tin cậy qua các lớp phần mềm khác nhau. Các thành viên cộng đồng cho rằng DoH ở cấp trình duyệt giảm số lượng bên mà người dùng phải tin tưởng so với triển khai ở cấp hệ điều hành. Khi Android xử lý DoH, người dùng có thể tiết lộ truy vấn DNS của họ cho nhà cung cấp hệ điều hành, nhà sản xuất thiết bị, và bất kỳ ứng dụng VPN nào được tích hợp với API mạng hệ thống. Triển khai trình duyệt giới hạn việc tiết lộ này chủ yếu cho nhà cung cấp trình duyệt.
Tuy nhiên, lợi thế này đi kèm với những hạn chế. Các nhà phê bình chỉ ra rằng người dùng vẫn phụ thuộc vào nhà cung cấp phần cứng và hệ điều hành bất kể mức độ triển khai. Sự khác biệt nằm ở việc liệu các thành phần cấp thấp này có thể truy cập tên miền có thể đọc được hay chỉ lưu lượng được mã hóa và địa chỉ IP.
Các Công cụ Quyền riêng tư Bị rò rỉ của Android Gây lo ngại
Một mối quan tâm đáng kể xuất hiện liên quan đến độ tin cậy của việc triển khai quyền riêng tư của Android. Các cuộc thảo luận cộng đồng đã nêu bật các trường hợp được ghi nhận khi các công cụ quyền riêng tư VPN và DNS của Android không tuân thủ đúng cài đặt bảo mật. Những lỗi này có thể khiến lưu lượng DNS bị rò rỉ ra ngoài các đường hầm được mã hóa, đặc biệt khi các ứng dụng sử dụng một số chức năng hệ thống nhất định hoàn toàn bỏ qua bảo vệ VPN.
Google được báo cáo là chưa giải quyết một số vấn đề này và không coi một số loại rò rỉ lưu lượng là lỗi. Hồ sơ này củng cố lập luận cho việc mã hóa DNS độc lập ở cấp trình duyệt không dựa vào các công cụ quyền riêng tư cấp hệ thống có thể bị xâm phạm.
Đánh đổi giữa Hiệu suất và Tập trung hóa
Sự hợp tác của Mozilla với Canadian Internet Registration Authority (CIRA) đã mang lại những cải thiện hiệu suất ấn tượng, với việc tra cứu DoH hiện nhanh hơn 61% so với đầu năm. Tiến bộ này giải quyết những lo ngại trước đây về việc DNS được mã hóa gây chậm trễ duyệt web.
Tuy nhiên, cộng đồng vẫn chia rẽ về rủi ro tập trung hóa. Cách tiếp cận Trusted Recursive Resolver của Firefox tập trung lưu lượng DNS giữa ít nhà cung cấp hơn, mặc dù những người ủng hộ cho rằng điều này mang lại bảo mật tốt hơn thông qua các quan hệ đối tác được thẩm định. Các cách tiếp cận thay thế, như hệ thống tự động nâng cấp cùng nhà cung cấp của Chrome, duy trì sự đa dạng resolver hiện có trong khi thêm mã hóa khi có sẵn.
Firefox sử dụng một tập hợp các resolver được thẩm định và chỉ định trước, vì vậy ít dễ bị tấn công hơn dưới hình thức này. Tôi nói 'ít dễ bị tấn công hơn' vì theo mặc định nó sẽ quay lại DNS hệ thống khi thất bại, nhưng bạn có thể cấu hình hard-fail.
Các Mức Độ Bảo Vệ DoH của Firefox:
- Bảo Vệ Mặc Định: Firefox tự động quyết định khi nào sử dụng DNS bảo mật
- Bảo Vệ Nâng Cao: Người dùng kiểm soát việc sử dụng DNS bảo mật và lựa chọn nhà cung cấp
- Bảo Vệ Tối Đa: Luôn sử dụng DNS bảo mật với cảnh báo bảo mật trước khi chuyển về DNS hệ thống
- Tắt: Sử dụng trình phân giải DNS mặc định không có mã hóa
Lợi ích Quyền riêng tư Hạn chế Nếu Không có Bảo vệ Bổ sung
Các chuyên gia kỹ thuật nhấn mạnh rằng chỉ riêng DoH cung cấp bảo vệ quyền riêng tư không đầy đủ. Không có hỗ trợ Encrypted Client Hello (ECH), tên miền thường vẫn hiển thị trong bắt tay TLS, khiến mã hóa DNS kém hiệu quả hơn chống lại giám sát mạng. Cộng đồng xem DoH như một thành phần trong gói quyền riêng tư rộng hơn chứ không phải là giải pháp hoàn chỉnh.
Hạn chế này đặc biệt liên quan đến người dùng muốn vượt qua việc chặn trang web ở cấp ISP, nơi DoH có thể hiệu quả, so với những người quan tâm đến quyền riêng tư duyệt web toàn diện, nơi cần các biện pháp bổ sung.
Cuộc thảo luận phản ánh những căng thẳng rộng hơn giữa tiện lợi, hiệu suất và quyền riêng tư trong duyệt web hiện đại, không có sự đồng thuận rõ ràng về cách tiếp cận tối ưu cho các nhu cầu người dùng và mô hình mối đe dọa khác nhau.
Tham khảo: Firefox DNS privacy: Faster than ever, now on Android