Likes and Dislikes: DNS over HTTPS

Analizemu l'opinioni in quantu à e caratteristiche di DNS nantu à HTTPS, chì sò diventati recentemente un "ossu di cuntinzione" trà i fornituri di Internet è i sviluppatori di navigatori.

/Unsplash/ Steve Halama

L'essenza di u disaccordu

Ultimamente media maiò и piattaforme tematiche (inclusi Habr), spessu scrivenu nantu à u protocolu DNS over HTTPS (DoH). Cripta e dumande à u servitore DNS è e risposte à elli. Stu approcciu permette di ammuccià i nomi di l'ospiti chì l'utilizatori accede. Da e publicazioni pudemu cuncludi chì u novu protocolu (in l'IETF appruvatu in 2018) hà divisu a cumunità IT in dui campi.

A mità crede chì u novu protokollu migliurà a sicurità di Internet è l'implementanu in e so applicazioni è servizii. L'altra mità hè cunvinta chì a tecnulugia solu rende u travagliu di l'amministratori di u sistema più difficiule. In seguitu, analizzeremu l'argumenti di i dui lati.

Cumu funziona DoH

Prima di capisce perchè l'ISP è l'altri participanti di u mercatu sò per o contru DNS sopra HTTPS, fighjemu brevemente cumu funziona.

In u casu di DoH, a dumanda per determinà l'indirizzu IP hè incapsulatu in u trafficu HTTPS. Allora vai à u servitore HTTP, induve hè trattatu cù l'API. Eccu un esempiu di dumanda da RFC 8484 (pagina 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Cusì, u trafficu DNS hè oculatu in u trafficu HTTPS. U cliente è u servitore cumunicà nantu à u portu standard 443. In u risultatu, e dumande à u sistema di nome di duminiu restanu anonimi.

Perchè ùn hè micca favuritu?

L'opponenti di DNS sopra HTTPS dìchì u novu protocolu riducerà a sicurità di e cunnessione. By sicondu Paul Vixie, un membru di u gruppu di sviluppu DNS, farà più difficiule per l'amministratori di u sistema di bluccà siti potenzialmente maliziusi. L'utilizatori ordinariu perderanu a capacità di stallà cuntrolli parentali cundiziunali in i navigatori.

I punti di vista di Paul sò spartuti da i fornitori di Internet di u Regnu Unitu. A legislazione di u paese oblige bluccà li da risorse cù cuntenutu pruibitu. Ma u supportu per DoH in i navigatori complica u compitu di filtrà u trafficu. I critichi di u novu protocolu includenu ancu u Centru di Comunicazione di u Guvernu in Inghilterra (GCHQ) è a Fundazione Internet Watch (veramente), chì mantene un registru di risorse bluccate.

In u nostru blog nantu à Habré:

• Guerra robocall di i Stati Uniti - quale vince è perchè
• I telecomunicazioni britannichi pagheranu à l'abbonati una compensazione per l'interruzzioni di u serviziu

L'esperti notanu chì DNS over HTTPS pò diventà una minaccia di cibersigurtà. A principiu di lugliu, i specialisti di sicurezza di l'infurmazioni da Netlab scupertu u primu virus chì hà utilizatu u novu protocolu per fà attacchi DDoS - Godlua. U malware accede à DoH per ottene registri di testu (TXT) è estrae l'URL di u servitore di cumandamentu è di cuntrollu.

E dumande DoH criptate ùn sò micca ricunnisciute da u software antivirus. Specialisti di sicurità di l'infurmazioni anu paurachì dopu à Godlua altri malware venenu, invisibili à u monitoraghju DNS passiu.

Ma micca tutti sò contru

In difesa di DNS nantu à HTTPS in u so blog parlava L'ingegnere APNIC Geoff Houston. Sicondu ellu, u novu protokollu permetterà di cummattiri l'attacchi di pirate di DNS, chì sò diventati pocu più cumuni. Stu fattu cunfirma Rapportu di ghjennaghju da a cumpagnia di cibersecurità FireEye. I grandi cumpagnie di l'IT anu ancu supportatu u sviluppu di u protocolu.

À u principiu di l'annu passatu, DoH hà cuminciatu à esse pruvatu à Google. È un mese fà a cumpagnia prisentatu Versione di Disponibilità Generale di u so serviziu DoH. Nantu à Google speranza, chì hà da aumentà a sicurità di e dati persunali nantu à a reta è prutegge contra l'attacchi MITM.

Un altru sviluppatore di navigatore - Mozilla - sustegnu DNS sopra HTTPS da l'estate scorsa. À u listessu tempu, a cumpagnia prumove attivamente a nova tecnulugia in l'ambiente IT. Per questu, l'Associazione di Fornitori di Servizi Internet (ISPA) ancu numinatu Mozilla for Internet Villain of the Year Award. In risposta, i rapprisentanti di a cumpagnia nutatu, chì sò frustrati da a riluttanza di l'operatori di telecomunicazioni per migliurà a so infrastruttura Internet obsoleta.

/Unsplash/ TETrebbien

À u sustegnu di Mozilla i grandi media anu parlatu è certi fornituri di Internet. In particulare, in British Telecom cunsidereghjachì u novu protokollu ùn affetterà micca u filtru di cuntenutu è migliurà a sicurità di l'utilizatori di u Regnu Unitu. Sottu pressione publica ISPA duvia esse ricurdatu nomina di "villanu".

I fornituri di nuvola anu ancu favuritu l'intruduzioni di DNS per HTTPS, per esempiu Cloudflare. Dighjà offre servizii DNS basatu annantu à u novu protocolu. Una lista cumpleta di navigatori è clienti chì supportanu DoH hè dispunibule à GitHub.

In ogni casu, ùn hè ancu pussibule di parlà di a fine di u cunfrontu trà i dui campi. L'esperti in l'informatica predicenu chì, se DNS sopra HTTPS hè destinatu à diventà parti di a pila di tecnulugia Internet mainstream, ci vole. più di un decenniu.

Chì altru scrivemu in u nostru blog corporativu:

• Cumu hè custruitu a reta di u fornitore di Internet
• I servizii basi in rete di fornitori di Internet
• Cunvergenza è unificazione - parechje attività nantu à un dispositivu

Source: www.habr.com