"Loves and dislikes": DNS oer HTTPS

Wy analysearje mieningen oangeande de funksjes fan DNS oer HTTPS, dy't koartlyn in "bone of contention" wurden binne ûnder ynternetproviders en browserûntwikkelders.

/unsplash/ Steve Halama

De essinsje fan 'e ûnienichheid

Farianten, grutte media и tematyske platfoarms (ynklusyf Habr), skriuwe se faak oer it DNS oer HTTPS (DoH) protokol. It fersiferet fersiken nei de DNS-tsjinner en antwurden op har. Dizze oanpak lit jo de nammen fan 'e hosts ferbergje wêr't de brûker tagong ta hat. Ut de publikaasjes kinne wy ​​konkludearje dat it nije protokol (yn 'e IETF goedkard it yn 2018) ferdielde de IT-mienskip yn twa kampen.

De helte leaut dat it nije protokol de ynternetfeiligens sil ferbetterje en implementearje it yn har applikaasjes en tsjinsten. De oare helte is derfan oertsjûge dat technology allinich it wurk fan systeembehearders dreger makket. Dêrnei sille wy de arguminten fan beide kanten analysearje.

Hoe DoH wurket

Foardat wy yngeane wêrom't ISP's en oare merkdielnimmers foar of tsjin DNS oer HTTPS binne, litte wy koart sjen hoe't it wurket.

Yn it gefal fan DoH is it fersyk om it IP-adres te bepalen ynkapsele yn HTTPS-ferkear. It giet dan nei de HTTP-tsjinner, wêr't it wurdt ferwurke mei de API. Hjir is in foarbyldfersyk fan RFC 8484 (pagina 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Sa is DNS-ferkear ferburgen yn HTTPS-ferkear. De kliïnt en tsjinner kommunisearje oer de standert poarte 443. As gefolch bliuwe oanfragen oan it domeinnammesysteem anonym.

Wêrom is er net begeunstige?

Tsjinstanners fan DNS oer HTTPS sizzedat it nije protokol de feiligens fan ferbiningen sil ferminderje. Troch neffens Paul Vixie, lid fan it DNS-ûntwikkelteam, sil it dreger meitsje foar systeembehearders om potinsjeel kweade siden te blokkearjen. Gewoane brûkers sille de mooglikheid ferlieze om betingsten âlderlike kontrôles yn te stellen yn browsers.

De opfettings fan Paul wurde dield troch UK ynternetproviders. Lânwetjouwing ferplichtet blokkearje se fan boarnen mei ferbeane ynhâld. Mar stipe foar DoH yn browsers komplisearret de taak fan it filterjen fan ferkear. Kritisy fan it nije protokol omfetsje ek it Government Communications Centre yn Ingelân (GCHQ) en de Internet Watch Foundation (IMF), dy't in register byhâldt fan blokkearre boarnen.

Yn ús blog oer Habré:

• De oarloch tsjin robocalls yn 'e FS - wa wint en wêrom
• Britske telekommunikaasje sil abonnees kompensaasje betelje foar tsjinstûnderbrekkings

Eksperts merken op dat DNS oer HTTPS in bedriging foar cybersecurity wurde kin. Begjin july hawwe spesjalisten fan ynformaasjefeiligens fan Netlab ûntdutsen it earste firus dat it nije protokol brûkte om DDoS-oanfallen út te fieren - Godlua. De malware hat tagong ta DoH om tekstrecords (TXT) te krijen en kommando- en kontrôleserver-URL's te ekstrahearjen.

Fersifere DoH-oanfragen waarden net erkend troch antyvirussoftware. Spesjalisten foar ynformaasjefeiligens bangensdat nei Godlua oare malware sil komme, ûnsichtber foar passive DNS monitoring.

Mar net elkenien is der op tsjin

Yn ferdigening fan DNS oer HTTPS op syn blog spriek út APNIC yngenieur Geoff Houston. Neffens him sil it nije protokol it mooglik meitsje om DNS-kapingsoanfallen te bestriden, dy't de lêste tiid hieltyd faker wurden binne. Dit feit befêstiget Jannewaris rapport fan cybersecurity bedriuw FireEye. Grutte IT-bedriuwen stipe ek de ûntwikkeling fan it protokol.

Begjin ferline jier begon DoH te testen by Google. En in moanne lyn it bedriuw presintearre Algemiene beskikberens ferzje fan syn DoH tsjinst. Op Google hope, dat it de feiligens fan persoanlike gegevens op it netwurk ferheegje sil en beskermje tsjin MITM-oanfallen.

In oare browserûntwikkelder - Mozilla - stipet DNS oer HTTPS sûnt ferline simmer. Tagelyk befoarderet it bedriuw aktyf nije technology yn 'e IT-omjouwing. Hjirfoar is de Internet Services Providers Association (ISPA) sels nominearre Mozilla foar Internet Villain of the Year Award. As antwurd, bedriuw fertsjintwurdigers notearre, dy't frustrearre binne troch de ûnwilligens fan telekomoperators om har ferâldere ynternetynfrastruktuer te ferbetterjen.

/unsplash/ TETrebbien

Yn stipe fan Mozilla grutte media spruts út en guon ynternetproviders. Benammen by British Telecom beskôgjedat it nije protokol gjin ynhâldsfiltering sil beynfloedzje en de feiligens fan UK brûkers ferbetterje sil. Under publike druk ISPA weromroppen wurde moast "skurk" nominaasje.

Wolkeproviders pleite ek foar de ynfiering fan DNS oer HTTPS, bygelyks Cloudflare. Se biede al DNS-tsjinsten oan op basis fan it nije protokol. In folsleine list mei browsers en kliïnten dy't DoH stypje is beskikber op GitHub.

Oer it ein fan de konfrontaasje tusken de beide kampen is yn alle gefallen noch net te praten. IT-saakkundigen foarsizze dat as DNS oer HTTPS ornearre is om diel te wurden fan 'e mainstream ynternettechnology-stapel, it sil nimme mear as ien desennium.

Wat oars skriuwe wy oer yn ús bedriuwsblog:

• Hoe it ynternetprovidernetwurk is boud
• Basis tsjinsten yn ynternet provider netwurken
• Konverginsje en ferieniging - meardere taken op ien apparaat

Boarne: www.habr.com