„Lieben und nicht lieben“: DNS über HTTPS

Wir erörtern die Meinungen zu den Besonderheiten von DNS over HTTPS, das in letzter Zeit zum „Streitpunkt“ unter Internetanbietern und Browserentwicklern geworden ist.

„Lieben und nicht lieben“: DNS über HTTPS
/ Unsplash / Steve Halama

Wesentliche Streitpunkte

In letzter Zeit große Medien und Fachportale (einschließlich Habr), berichten häufig über das Protokoll DNS over HTTPS (DoH). Es verschlüsselt Anfragen an den DNS-Server und die Antworten darauf. Dieser Ansatz ermöglicht es, die Hostnamen, zu denen Nutzer eine Verbindung herstellen, zu verbergen. Aus den Publikationen lässt sich schließen, dass das neue Protokoll (im IETF wurde es im Jahr 2018 genehmigt) die IT-Community in zwei Lager geteilt hat.

Die eine Hälfte glaubt, dass das neue Protokoll die Sicherheit des Internets erhöht und implementiert es in ihre Anwendungen und Dienste. Die andere Hälfte ist überzeugt, dass die Technologie nur die Arbeit von Systemadministratoren erschwert. Im Folgenden werden wir die Argumente beider Seiten untersuchen.

Wie funktioniert DoH?

Bevor wir darüber sprechen, warum Internetanbieter und andere Marktteilnehmer für oder gegen DNS over HTTPS sind, lassen Sie uns kurz die Funktionsweise erläutern.

Bei DoH wird die Anfrage zur Bestimmung der IP-Adresse in den HTTPS-Verkehr eingebettet. Anschließend wird sie an einen HTTP-Server gesendet, wo sie über die API verarbeitet wird. Hier ein Beispiel für eine Anfrage aus RFC 8484 (S.6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Somit ist der DNS-Verkehr im HTTPS-Verkehr verborgen. Der Client und der Server kommunizieren über den Standardport 443. Dadurch bleiben Anfragen an das Domain-Namen-System anonym.

Warum es nicht beliebt ist

Gegner von DNS over HTTPS dass langsames Internet oft junge Menschen dazu zwingt, ländliche Gebiete zu verlassen. Ein weiteres Beispiel ist Lagos (die größte Stadt Nigerias), in der, dass das neue Protokoll die Sicherheit der Verbindungen verringern wird. Laut den Paul Vixie, einem Mitglied des DNS-Entwicklungsteams, wird es für Systemadministratoren schwieriger sein, potenziell schädliche Websites zu blockieren. Gelegenheitsbenutzer verlieren dabei die Möglichkeit, eine bedingte Elternkontrolle in Browsern einzurichten.

Pauls Meinung wird von Internetanbietern in Großbritannien geteilt. Die Gesetzgebung des Landes verpflichtet ihre Ressourcen mit verbotenem Inhalt zu blockieren. Die Unterstützung von DoH in Browsern erschwert jedoch die Aufgabe der Verkehrsfilterung. Zu den Kritikern des neuen Protokolls gehören auch das Government Communications Headquarters in England (GCHQ) und die Internet Watch Foundation (IWF), die ein Register der blockierten Ressourcen führen.

In unserem Blog auf Habr:

Experten weisen darauf hin, dass DNS over HTTPS eine Bedrohung für die Cybersicherheit darstellen könnte. Anfang Juli berichteten Sicherheitsspezialisten von Netlab wurde entdeckt der erste Virus, der das neue Protokoll für DDoS-Angriffe nutzte – Godlua. Die Schadsoftware rief DoH auf, um Textdatensätze (TXT) abzurufen und URL-Adressen von Steuerungsservern zu extrahieren.

Verschlüsselte DoH-Anfragen wurden von Antivirensoftware nicht erkannt. Sicherheitsspezialisten fürchten, dass nach Godlua weitere Schadprogramme kommen werden, die für die passive DNS-Überwachung unsichtbar sind.

Aber nicht alle sind dagegen

In Verteidigung von DNS over HTTPS äußerte sich in seinem Blog äußerte sich Ingenieur von APNIC Geoff Houston. Seinen Aussagen zufolge wird das neue Protokoll dazu beitragen, gegen DNS-Hijacking-Angriffe vorzugehen, die in letzter Zeit immer häufiger werden. Dies bestätigt ein Januarbericht des Sicherheitsunternehmens FireEye. Die Entwicklung des Protokolls wurde auch von großen IT-Unternehmen unterstützt.

Bereits Anfang letzten Jahres begann Google mit Tests von DoH. Vor einem Monat präsentierte wurde die Version General Availability seines DoH-Dienstes veröffentlicht. Bei Google hofft man,dass dieser die Sicherheit persönlicher Daten im Internet erhöht und vor MITM-Angriffen schützt.

Ein weiterer Browserentwickler – Mozilla – unterstützt führt seit dem Sommer letzten Jahres DNS over HTTPS ein. Das Unternehmen fördert aktiv diese neue Technologie in der IT-Community. Dafür wurde die Internet Service Providers Association (ISPA) sogar nominiert Mozilla für den Preis „Internet-Schurke des Jahres“. In Antwort darauf äußerten die Vertreter des Unternehmens, dass sie enttäuscht sind über das fehlende Bestreben der Telekommunikationsanbieter, die veraltete Internet-Infrastruktur zu verbessern.

„Lieben und nicht lieben“: DNS über HTTPS
/ Unsplash / TETrebbien

Große Medien und einige Internetanbieter haben sich zugunsten von Mozilla ausgesprochen. So hält man bei British Telecom es für sinnvoll halten, dass das neue Protokoll die Inhaltsfilterung nicht beeinträchtigen wird und die Sicherheit der britischen Nutzer erhöht. Unter dem Druck der Öffentlichkeit musste die ISPA zurückziehen die „schurkische“ Nominierung.

Auch Cloud-Anbieter, wie Cloudflare, haben sich für die Einführung von DNS over HTTPS ausgesprochen. Eine vollständige Liste der Browser und Clients, die DoH unterstützen, finden Sie unter GitHub.

In jedem Fall lässt sich derzeit nicht von einem Ende des Konflikts zwischen den beiden Lagern sprechen. IT-Experten prognostizieren, dass es, falls DNS over HTTPS tatsächlich Teil des massenhaften Internet-Technologiestapels werden soll, mehrere Jahrzehnte dauern wird..

Woran wir sonst noch in unserem Unternehmensblog schreiben:

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster