ما نظرات مربوط به ویژگیهای DNS از طریق HTTPS را تجزیه و تحلیل میکنیم، که اخیراً به یک "استخوان مناقشه" در بین ارائهدهندگان اینترنت و توسعهدهندگان مرورگر تبدیل شدهاند.
اخیرا رسانه های اصلی и پلتفرم های موضوعی (از جمله Habr)، آنها اغلب در مورد DNS از طریق پروتکل HTTPS (DoH) می نویسند. این درخواست ها را به سرور DNS رمزگذاری می کند و به آنها پاسخ می دهد. این رویکرد به شما امکان می دهد نام هاست هایی را که کاربر به آنها دسترسی دارد پنهان کنید. از انتشارات می توان نتیجه گرفت که پروتکل جدید (در IETF آن را تایید کرد در سال 2018) جامعه فناوری اطلاعات را به دو اردو تقسیم کرد.
نیمی از آنها معتقدند که پروتکل جدید امنیت اینترنت را بهبود می بخشد و در حال پیاده سازی آن در برنامه ها و خدمات خود هستند. نیمی دیگر متقاعد شده اند که فناوری فقط کار مدیران سیستم را دشوارتر می کند. در ادامه به تحلیل استدلال های دو طرف می پردازیم.
DoH چگونه کار می کند
قبل از اینکه به این موضوع بپردازیم که چرا ISP ها و سایر فعالان بازار موافق یا مخالف DNS از طریق HTTPS هستند، اجازه دهید به طور خلاصه به نحوه عملکرد آن نگاه کنیم.
در مورد DoH، درخواست تعیین آدرس IP در ترافیک HTTPS کپسوله می شود. سپس به سرور HTTP می رود، جایی که با استفاده از API پردازش می شود. در اینجا یک نمونه درخواست از RFC 8484 (صفحه 6):
بنابراین، ترافیک DNS در ترافیک HTTPS پنهان می شود. مشتری و سرور از طریق پورت استاندارد 443 ارتباط برقرار می کنند. در نتیجه، درخواست ها به سیستم نام دامنه ناشناس باقی می مانند.
چرا او مورد لطف قرار نمی گیرد؟
مخالفان DNS از طریق HTTPS آنها می گویندکه پروتکل جدید امنیت اتصالات را کاهش خواهد داد. توسط طبق Paul Vixie، یکی از اعضای تیم توسعه DNS، مسدود کردن سایتهای بالقوه مخرب را برای مدیران سیستم دشوارتر میکند. کاربران عادی توانایی تنظیم کنترلهای والدین مشروط در مرورگرها را از دست خواهند داد.
نظرات پل توسط ارائه دهندگان اینترنت بریتانیا به اشتراک گذاشته می شود. قانون کشور را ملزم می کند آنها را از منابعی با محتوای ممنوعه مسدود کنید. اما پشتیبانی از DoH در مرورگرها کار فیلتر کردن ترافیک را پیچیده می کند. منتقدان پروتکل جدید همچنین شامل مرکز ارتباطات دولتی در انگلستان (GCHQ) و بنیاد تماشای اینترنت (IWF) که یک رجیستر منابع مسدود شده را نگهداری می کند.
کارشناسان خاطرنشان می کنند که DNS از طریق HTTPS می تواند به یک تهدید امنیت سایبری تبدیل شود. در ابتدای ماه جولای، متخصصان امنیت اطلاعات از Netlab کشف شده اولین ویروسی که از پروتکل جدید برای انجام حملات DDoS استفاده کرد - گودلوا. این بدافزار برای به دست آوردن سوابق متنی (TXT) و استخراج URL های سرور فرمان و کنترل به DoH دسترسی پیدا کرد.
درخواست های DoH رمزگذاری شده توسط نرم افزار آنتی ویروس شناسایی نشد. متخصصان امنیت اطلاعات ترسکه پس از Godlua بدافزارهای دیگری می آیند که برای نظارت غیرفعال DNS نامرئی هستند.
اما همه مخالف آن نیستند
در دفاع از DNS بر روی HTTPS در وبلاگ خود صحبت کرد مهندس APNIC جف هیوستون. به گفته وی، پروتکل جدید مبارزه با حملات ربودن DNS را که اخیراً به طور فزاینده ای رایج شده است، ممکن می کند. این حقیقت تأیید می کند گزارش ژانویه از شرکت امنیت سایبری FireEye. شرکت های بزرگ فناوری اطلاعات نیز از توسعه این پروتکل حمایت کردند.
در ابتدای سال گذشته، DoH در گوگل آزمایش شد. و یک ماه پیش شرکت ارایه شده نسخه عمومی در دسترس بودن سرویس DoH آن. در گوگل امید، که باعث افزایش امنیت داده های شخصی در شبکه و محافظت در برابر حملات MITM می شود.
یکی دیگر از توسعه دهندگان مرورگر - موزیلا - پشتیبانی می کند DNS از تابستان گذشته از طریق HTTPS. در عین حال، این شرکت به طور فعال در حال ترویج فناوری جدید در محیط IT است. برای این منظور، انجمن ارائه دهندگان خدمات اینترنتی (ISPA) حتی نامزد شده است موزیلا برای جایزه بهترین شرور اینترنتی سال. در پاسخ، نمایندگان شرکت اشاره شد، که از بی میلی اپراتورهای مخابراتی برای بهبود زیرساخت های قدیمی اینترنت خود ناامید شده اند.
در حمایت از موزیلا رسانه های بزرگ صحبت کردند و برخی از ارائه دهندگان اینترنت. به ویژه، در British Telecom در نظر گرفتنپروتکل جدید بر فیلتر محتوا تأثیری نخواهد گذاشت و امنیت کاربران بریتانیا را بهبود خواهد بخشید. تحت فشار عمومی ISPA باید فراخوانی می شد نامزدی "شرور".
برای مثال، ارائه دهندگان ابری از معرفی DNS از طریق HTTPS نیز حمایت کردند CloudFlare را. آنها قبلاً خدمات DNS را بر اساس پروتکل جدید ارائه می دهند. فهرست کاملی از مرورگرها و کلاینت هایی که از DoH پشتیبانی می کنند در این آدرس موجود است GitHub.
در هر صورت هنوز نمی توان درباره پایان تقابل دو اردو صحبت کرد. کارشناسان فناوری اطلاعات پیشبینی میکنند که اگر قرار باشد DNS از طریق HTTPS به بخشی از پشته اصلی فناوری اینترنت تبدیل شود، این کار طول میکشد. نه یک دهه.