Gusto ug Dili Gusto: DNS sa HTTPS

Among analisa ang mga opinyon bahin sa mga feature sa DNS sa HTTPS, nga bag-o lang nahimong “bukog sa panagbingkil” taliwala sa mga Internet providers ug browser developers.

/Unsplash/ Steve Halama

Ang diwa sa dili pagsinabtanay

Bag-ohay lang, mayor nga media и tematik nga mga plataporma (lakip ang Habr), kanunay silang nagsulat bahin sa DNS sa HTTPS (DoH) nga protocol. Gi-encrypt niini ang mga hangyo sa DNS server ug mga tubag niini. Kini nga pamaagi nagtugot kanimo sa pagtago sa mga ngalan sa mga host nga gi-access sa user. Gikan sa mga publikasyon makahinapos kita nga ang bag-ong protocol (sa IETF giaprobahan kini sa 2018) gibahin ang komunidad sa IT sa duha ka kampo.

Ang katunga nagtuo nga ang bag-ong protocol makapauswag sa seguridad sa Internet ug gipatuman kini sa ilang mga aplikasyon ug serbisyo. Ang laing katunga kombinsido nga ang teknolohiya naghimo lamang sa trabaho sa mga tigdumala sa sistema nga mas lisud. Sunod, atong analisahon ang mga argumento sa duha ka kilid.

Giunsa paglihok sa DoH

Sa dili pa nato masabtan kung nganong ang mga ISP ug uban pang mga partisipante sa merkado uyon o supak sa DNS sa HTTPS, atong tan-awon sa makadiyot kung giunsa kini paglihok.

Sa kaso sa DoH, ang hangyo aron mahibal-an ang IP address gilakip sa trapiko sa HTTPS. Dayon kini moadto sa HTTP server, diin kini giproseso gamit ang API. Ania ang usa ka pananglitan nga hangyo gikan sa RFC 8484 (panid 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Busa, ang trapiko sa DNS gitago sa trapiko sa HTTPS. Ang kliyente ug server nakigkomunikar sa standard port 443. Ingon nga resulta, ang mga hangyo sa sistema sa domain name nagpabilin nga wala mailhi.

Nganong dili man siya gipaboran?

Mga kaatbang sa DNS sa HTTPS isultinga ang bag-ong protocol makapakunhod sa seguridad sa mga koneksyon. Pinaagi sa sumala sa Si Paul Vixie, usa ka miyembro sa DNS development team, maghimo nga mas lisud alang sa mga administrador sa sistema sa pag-block sa posibleng makadaot nga mga site. Ang mga ordinaryong tiggamit mawad-an sa abilidad sa pag-set up sa mga kondisyon nga kontrol sa ginikanan sa mga browser.

Ang mga panan-aw ni Paul gipaambit sa mga tighatag sa internet sa UK. Lehislasyon sa nasud nag-obligar babagan sila gikan sa mga kapanguhaan nga adunay gidili nga sulud. Apan ang suporta sa DoH sa mga browser nagpakomplikado sa tahas sa pagsala sa trapiko. Ang mga kritiko sa bag-ong protocol naglakip usab sa Government Communications Center sa England (GCHQ) ug ang Internet Watch Foundation (IMF), nga nagmintinar sa usa ka rehistro sa gibabagan nga mga kapanguhaan.

Sa among blog sa Habré:

• US robocall war - kinsa ang nakadaog ug ngano
• Ang mga British telecom mobayad sa bayad sa mga subscriber alang sa mga pagkabalda sa serbisyo

Namatikdan sa mga eksperto nga ang DNS sa HTTPS mahimong usa ka hulga sa cybersecurity. Sa sinugdanan sa Hulyo, ang mga espesyalista sa seguridad sa impormasyon gikan sa Netlab nadiskobrehan ang una nga virus nga migamit sa bag-ong protocol aron ipatuman ang mga pag-atake sa DDoS - Godlua. Ang malware mi-access sa DoH aron makakuha og text records (TXT) ug pagkuha sa command ug control server URLs.

Ang gi-encrypt nga mga hangyo sa DoH wala giila sa antivirus software. Mga espesyalista sa seguridad sa impormasyon nahadloknga human sa Godlua moabut ang ubang malware, dili makita sa passive DNS monitoring.

Apan dili tanan ang supak niini

Sa pagdepensa sa DNS sa HTTPS sa iyang blog misulti APNIC engineer nga si Geoff Houston. Matod niya, ang bag-ong protocol magpaposible sa pagsukol sa mga pag-atake sa DNS hijacking, nga bag-o lang nahimong mas komon. Kini nga kamatuoran nagpamatuod Ang taho sa Enero gikan sa kompanya sa cybersecurity nga FireEye. Gisuportahan usab sa mga dagkong kompanya sa IT ang pag-uswag sa protocol.

Sa sinugdanan sa miaging tuig, ang DoH nagsugod sa pagsulay sa Google. Ug usa ka bulan ang milabay ang kompanya gipresentar Kinatibuk-ang Availability nga bersyon sa serbisyo sa DoH niini. Sa Google paglaum, nga kini makadugang sa seguridad sa personal nga datos sa network ug manalipod batok sa mga pag-atake sa MITM.

Laing browser developer - Mozilla - nagsuporta DNS sa HTTPS sukad sa miaging ting-init. Sa parehas nga oras, ang kompanya aktibo nga nagpasiugda sa bag-ong teknolohiya sa palibot sa IT. Alang niini, ang Internet Services Providers Association (ISPA) bisan nominado Mozilla alang sa Internet Villain of the Year Award. Agig tubag, ang mga representante sa kompanya namatikdan, nga nasagmuyo sa pagduha-duha sa mga operator sa telecom sa pagpalambo sa ilang karaan nga imprastraktura sa Internet.

/Unsplash/ TETrebbien

Sa pagsuporta sa Mozilla ang mayor nga media misulti ug pipila ka Internet providers. Sa partikular, sa British Telecom tagdanga ang bag-ong protocol dili makaapekto sa pagsala sa sulud ug makapauswag sa seguridad sa mga tiggamit sa UK. Ubos sa pressure sa publiko ISPA kinahanglan nga hinumduman "kontrabida" nga nominasyon.

Ang mga cloud providers usab nagpasiugda sa pagpaila sa DNS sa HTTPS, pananglitan Cloudflare. Nagtanyag na sila og mga serbisyo sa DNS base sa bag-ong protocol. Ang kompletong listahan sa mga browser ug kliyente nga nagsuporta sa DoH anaa sa GitHub.

Sa bisan unsa nga kaso, dili pa posible nga hisgutan ang katapusan sa komprontasyon tali sa duha ka kampo. Gitagna sa mga eksperto sa IT nga kung ang DNS sa HTTPS gitakda nga mahimong bahin sa panguna nga stack sa teknolohiya sa Internet, kinahanglan kini. kapin sa usa ka dekada.

Unsa pa ang among gisulat sa among corporate blog:

• Giunsa paghimo ang network sa Internet provider
• Panguna nga mga serbisyo sa mga network sa Internet provider
• Convergence ug unification - daghang mga buluhaton sa usa ka device

Source: www.habr.com