Wir erörtern die Meinungen zu den Besonderheiten von DNS over HTTPS, das in letzter Zeit zum „Streitpunkt“ unter Internetanbietern und Browserentwicklern geworden ist.
/ Unsplash /
Wesentliche Streitpunkte
In letzter Zeit und (einschließlich Habr), berichten häufig über das Protokoll DNS over HTTPS (DoH). Es verschlüsselt Anfragen an den DNS-Server und die Antworten darauf. Dieser Ansatz ermöglicht es, die Hostnamen, zu denen Nutzer eine Verbindung herstellen, zu verbergen. Aus den Publikationen lässt sich schließen, dass das neue Protokoll (im IETF im Jahr 2018 genehmigt) die IT-Community in zwei Lager geteilt hat.
Die eine Hälfte glaubt, dass das neue Protokoll die Sicherheit des Internets erhöht und implementiert es in ihre Anwendungen und Dienste. Die andere Hälfte ist überzeugt, dass die Technologie nur die Arbeit von Systemadministratoren erschwert. Im Folgenden werden wir die Argumente beider Seiten untersuchen.
Wie funktioniert DoH?
Bevor wir darüber sprechen, warum Internetanbieter und andere Marktteilnehmer für oder gegen DNS over HTTPS sind, lassen Sie uns kurz die Funktionsweise erläutern.
Bei DoH wird die Anfrage zur Bestimmung der IP-Adresse in den HTTPS-Verkehr eingebettet. Anschließend wird sie an einen HTTP-Server gesendet, wo sie über die API verarbeitet wird. Hier ein Beispiel für eine Anfrage aus RFC 8484 ():
:method = GET
:scheme = https
:authority = dnsserver.example.net
:path = /dns-query?
dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
accept = application/dns-message
Somit ist der DNS-Verkehr im HTTPS-Verkehr verborgen. Der Client und der Server kommunizieren über den Standardport 443. Dadurch bleiben Anfragen an das Domain-Namen-System anonym.
Warum es nicht beliebt ist
Gegner von DNS over HTTPS , dass das neue Protokoll die Sicherheit der Verbindungen verringern wird. Laut Paul Vixie, einem Mitglied des DNS-Entwicklungsteams, wird es für Systemadministratoren schwieriger sein, potenziell schädliche Websites zu blockieren. Gelegenheitsbenutzer verlieren dabei die Möglichkeit, eine bedingte Elternkontrolle in Browsern einzurichten.
Pauls Meinung wird von Internetanbietern in Großbritannien geteilt. Die Gesetzgebung des Landes ihre Ressourcen mit verbotenem Inhalt zu blockieren. Die Unterstützung von DoH in Browsern erschwert jedoch die Aufgabe der Verkehrsfilterung. Zu den Kritikern des neuen Protokolls gehören auch das Government Communications Headquarters in England () und die Internet Watch Foundation (), die ein Register der blockierten Ressourcen führen.
In unserem Blog auf Habr:
Experten weisen darauf hin, dass DNS over HTTPS eine Bedrohung für die Cybersicherheit darstellen könnte. Anfang Juli berichteten Sicherheitsspezialisten von Netlab der erste Virus, der das neue Protokoll für DDoS-Angriffe nutzte – . Die Schadsoftware rief DoH auf, um Textdatensätze (TXT) abzurufen und URL-Adressen von Steuerungsservern zu extrahieren.
Verschlüsselte DoH-Anfragen wurden von Antivirensoftware nicht erkannt. Sicherheitsspezialisten , dass nach Godlua weitere Schadprogramme kommen werden, die für die passive DNS-Überwachung unsichtbar sind.
Aber nicht alle sind dagegen
In Verteidigung von DNS over HTTPS äußerte sich in seinem Blog Ingenieur von APNIC Geoff Houston. Seinen Aussagen zufolge wird das neue Protokoll dazu beitragen, gegen DNS-Hijacking-Angriffe vorzugehen, die in letzter Zeit immer häufiger werden. Dies bestätigt Januarbericht des Sicherheitsunternehmens FireEye. Die Entwicklung des Protokolls wurde auch von großen IT-Unternehmen unterstützt.
Bereits Anfang letzten Jahres begann Google mit Tests von DoH. Vor einem Monat wurde die Version General Availability seines DoH-Dienstes veröffentlicht. Bei Google dass dieser die Sicherheit persönlicher Daten im Internet erhöht und vor MITM-Angriffen schützt.
Ein weiterer Browserentwickler – Mozilla – führt seit dem Sommer letzten Jahres DNS over HTTPS ein. Das Unternehmen fördert aktiv diese neue Technologie in der IT-Community. Dafür wurde die Internet Service Providers Association (ISPA) Mozilla für den Preis „Internet-Schurke des Jahres“. In Antwort darauf , dass sie enttäuscht sind über das fehlende Bestreben der Telekommunikationsanbieter, die veraltete Internet-Infrastruktur zu verbessern.

/ Unsplash /
Große Medien es für sinnvoll , dass das neue Protokoll die Inhaltsfilterung nicht beeinträchtigen wird und die Sicherheit der britischen Nutzer erhöht. Unter dem Druck der Öffentlichkeit musste die ISPA die „schurkische“ Nominierung.
Auch Cloud-Anbieter, wie , haben sich für die Einführung von DNS over HTTPS ausgesprochen. Eine vollständige Liste der Browser und Clients, die DoH unterstützen, finden Sie unter .
In jedem Fall lässt sich derzeit nicht von einem Ende des Konflikts zwischen den beiden Lagern sprechen. IT-Experten prognostizieren, dass es, falls DNS over HTTPS tatsächlich Teil des massenhaften Internet-Technologiestapels werden soll, .
Woran wir sonst noch in unserem Unternehmensblog schreiben:
Quelle: habr.com
