Vorlieben und Abneigungen: DNS über HTTPS

Wir analysieren Meinungen zu den Funktionen von DNS über HTTPS, die in letzter Zeit zu einem „Streitpunkt“ unter Internetprovidern und Browserentwicklern geworden sind.

/Unsplash/ Steve Halama

Der Kern der Meinungsverschiedenheit

In letzter Zeit großen Medien и thematische Plattformen (einschließlich Habr) schreiben sie oft über das DNS-over-HTTPS-Protokoll (DoH). Es verschlüsselt Anfragen an den DNS-Server und Antworten darauf. Mit diesem Ansatz können Sie die Namen der Hosts verbergen, auf die der Benutzer zugreift. Aus den Veröffentlichungen können wir schließen, dass das neue Protokoll (in der IETF hat es genehmigt im Jahr 2018) spaltete die IT-Community in zwei Lager.

Die Hälfte glaubt, dass das neue Protokoll die Internetsicherheit verbessern wird und implementiert es in ihre Anwendungen und Dienste. Die andere Hälfte ist davon überzeugt, dass die Technologie die Arbeit von Systemadministratoren nur noch schwieriger macht. Als nächstes werden wir die Argumente beider Seiten analysieren.

So funktioniert DoH

Bevor wir darauf eingehen, warum ISPs und andere Marktteilnehmer für oder gegen DNS über HTTPS sind, werfen wir einen kurzen Blick auf die Funktionsweise.

Bei DoH ist die Anfrage zur Ermittlung der IP-Adresse im HTTPS-Verkehr gekapselt. Anschließend geht es an den HTTP-Server, wo es mithilfe der API verarbeitet wird. Hier ist eine Beispielanfrage von RFC 8484 (Seite 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Daher wird der DNS-Verkehr im HTTPS-Verkehr ausgeblendet. Client und Server kommunizieren über den Standard-Port 443. Dadurch bleiben Anfragen an das Domain Name System anonym.

Warum wird er nicht bevorzugt?

Gegner von DNS über HTTPS sagen siedass das neue Protokoll die Sicherheit von Verbindungen verringern wird. Von Text Paul Vixie, Mitglied des DNS-Entwicklungsteams, wird es Systemadministratoren erschweren, potenziell schädliche Websites zu blockieren. Normale Benutzer verlieren die Möglichkeit, bedingte Kindersicherungen in Browsern einzurichten.

Pauls Ansichten werden von britischen Internetanbietern geteilt. Ländergesetzgebung verpflichtet Blockieren Sie sie von Ressourcen mit verbotenen Inhalten. Die Unterstützung von DoH in Browsern erschwert jedoch die Filterung des Datenverkehrs. Zu den Kritikern des neuen Protokolls gehört auch das Government Communications Centre in England (GCHQ) und die Internet Watch Foundation (IWF), das ein Register der blockierten Ressourcen führt.

In unserem Blog über Habré:

• Der Krieg gegen Robocalls in den USA – wer gewinnt und warum
• Britische Telekommunikationsunternehmen zahlen ihren Abonnenten eine Entschädigung für Dienstunterbrechungen

Experten weisen darauf hin, dass DNS über HTTPS eine Bedrohung für die Cybersicherheit darstellen kann. Anfang Juli Informationssicherheitsspezialisten von Netlab gefunden der erste Virus, der das neue Protokoll zur Durchführung von DDoS-Angriffen nutzte – Godlua. Die Malware griff auf DoH zu, um Textdatensätze (TXT) abzurufen und Befehls- und Kontrollserver-URLs zu extrahieren.

Verschlüsselte DoH-Anfragen wurden von der Antivirensoftware nicht erkannt. Spezialisten für Informationssicherheit Angstdass nach Godlua weitere Malware kommen wird, die für die passive DNS-Überwachung unsichtbar ist.

Aber nicht jeder ist dagegen

Zur Verteidigung von DNS über HTTPS in seinem Blog ausgedrückt APNIC-Ingenieur Geoff Houston. Ihm zufolge ermöglicht das neue Protokoll die Bekämpfung von DNS-Hijacking-Angriffen, die in letzter Zeit immer häufiger auftreten. Dieser Fakt bestätigt Januar-Bericht des Cybersicherheitsunternehmens FireEye. Auch große IT-Unternehmen unterstützten die Entwicklung des Protokolls.

Anfang letzten Jahres wurde damit begonnen, DoH bei Google zu testen. Und vor einem Monat das Unternehmen präsentiert Allgemein verfügbare Version seines DoH-Dienstes. Auf Google hoffen, dass es die Sicherheit personenbezogener Daten im Netzwerk erhöht und vor MITM-Angriffen schützt.

Ein anderer Browser-Entwickler – Mozilla – unterstützt die DNS über HTTPS seit letztem Sommer. Gleichzeitig treibt das Unternehmen aktiv neue Technologien im IT-Umfeld voran. Hierzu hat die Internet Services Providers Association (ISPA) sogar nominiert Mozilla für die Auszeichnung „Internetschurke des Jahres“ ausgezeichnet. Als Reaktion darauf Unternehmensvertreter bekannt, die über die Zurückhaltung der Telekommunikationsbetreiber, ihre veraltete Internet-Infrastruktur zu verbessern, frustriert sind.

/Unsplash/ TETrebbien

Zur Unterstützung von Mozilla Große Medien meldeten sich zu Wort und einige Internetanbieter. Insbesondere bei British Telecom betrachtendass das neue Protokoll keinen Einfluss auf die Inhaltsfilterung hat und die Sicherheit britischer Benutzer verbessern wird. Unter öffentlichem Druck ISPA musste zurückgerufen werden „Bösewicht“-Nominierung.

Cloud-Anbieter plädierten beispielsweise auch für die Einführung von DNS über HTTPS Cloudflare. Sie bieten bereits DNS-Dienste an, die auf dem neuen Protokoll basieren. Eine vollständige Liste der Browser und Clients, die DoH unterstützen, finden Sie unter GitHub.

Von einem Ende der Konfrontation zwischen den beiden Lagern kann jedenfalls noch nicht gesprochen werden. IT-Experten gehen davon aus, dass es noch lange dauern wird, bis DNS über HTTPS Teil der Mainstream-Internet-Technologie wird kein Jahrzehnt.

Worüber wir sonst noch in unserem Unternehmensblog schreiben:

• Wie das Internet-Provider-Netzwerk aufgebaut ist
• Grunddienste in Internet-Provider-Netzwerken
• Konvergenz und Vereinheitlichung – mehrere Aufgaben auf einem Gerät

Source: habr.com