Is maith agus nach dtaitníonn: DNS thar HTTPS

Déanaimid anailís ar thuairimí maidir le gnéithe DNS thar HTTPS, a tháinig chun bheith ina “chnámh spairne” le déanaí i measc soláthraithe Idirlín agus forbróirí brabhsálaí.

/Dísplash/ Steve Halama

Bunbhrí an easaontais

Lately meáin mhóra и ardáin théamacha (Habr san áireamh), is minic a scríobhann siad faoin bprótacal DNS thar HTTPS (DoH). Criptíonn sé iarratais chuig an bhfreastalaí DNS agus freagraí orthu. Ligeann an cur chuige seo duit ainmneacha na n-óstach a fhaigheann an t-úsáideoir a cheilt. Ó na foilseacháin is féidir linn a thabhairt i gcrích go bhfuil an prótacal nua (san IETF faomhadh é in 2018) an pobal TF a roinnt ina dhá champa.

Creideann leath díobh go bhfeabhsóidh an prótacal nua slándáil Idirlín agus tá siad á gcur i bhfeidhm ina bhfeidhmchláir agus ina seirbhísí. Tá an leath eile cinnte nach ndéanann an teicneolaíocht ach post na riarthóirí córais níos deacra. Ansin, déanfaimid anailís ar argóintí an dá thaobh.

Conas a oibríonn DoH

Sula dtugaimid isteach cén fáth go bhfuil ISPanna agus rannpháirtithe eile sa mhargadh ar son nó i gcoinne DNS thar HTTPS, déanaimis breathnú go hachomair ar conas a oibríonn sé.

I gcás na Roinne Sláinte, tá an t-iarratas chun an seoladh IP a chinneadh cuimsithe i dtrácht HTTPS. Téann sé ansin chuig an bhfreastalaí HTTP, áit a ndéantar é a phróiseáil ag baint úsáide as an API. Seo iarratas samplach ó RFC 8484 (leathanach 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Mar sin, tá trácht DNS i bhfolach i dtrácht HTTPS. Déanann an cliant agus an freastalaí cumarsáid thar an gcalafort caighdeánach 443. Mar thoradh air sin, tá iarratais ar an gcóras ainm fearainn fós gan ainm.

Cén fáth nach bhfuil sé i bhfabhar?

Comhraiceoirí DNS thar HTTPS abairgo laghdóidh an prótacal nua slándáil na nasc. Le de réir Déanfaidh Paul Vixie, ball den fhoireann forbartha DNS, níos deacra do riarthóirí córais bac a chur ar shuíomhanna a d'fhéadfadh a bheith mailíseach. Caillfidh gnáthúsáideoirí an cumas rialuithe tuismitheoirí coinníollach a bhunú i mbrabhsálaithe.

Roinneann soláthraithe idirlín na RA tuairimí Phóil. Reachtaíocht na tíre iallach bac a chur orthu ó acmhainní le hábhar toirmiscthe. Ach cuireann tacaíocht do RS i mbrabhsálaithe an tasc chun trácht a scagadh níos casta. I measc criticeoirí an phrótacail nua tá Ionad Cumarsáide an Rialtais i Sasana (GCHQ) agus an Fhondúireacht Faire Idirlín (IWF), a choinníonn clár acmhainní bactha.

Inár mblag ar Habré:

• Cogadh robocall SAM - cé atá buaite agus cén fáth
• Íocfaidh teileachumarsáid na Breataine cúiteamh do shíntiúsóirí as dícheangail

Tugann saineolaithe faoi deara gur féidir le DNS thar HTTPS a bheith ina bhagairt cybersecurity. Ag tús mhí Iúil, speisialtóirí slándála faisnéise ó Netlab thángthas air an chéad víreas a d’úsáid an prótacal nua chun ionsaithe DDoS a dhéanamh - Godlua. Fuair ​​​​an malware rochtain ar DoH chun taifid téacs (TXT) a fháil agus chun URLanna freastalaí ordaithe agus rialaithe a bhaint as.

Níor aithin bogearraí frithvíreas iarratais chriptithe na Roinne Sláinte. Speisialtóirí slándála faisnéise eaglago mbeidh tar éis Godlua malware eile teacht, dofheicthe chun monatóireacht DNS éighníomhach.

Ach níl gach duine ina choinne

Mar chosaint ar DNS thar HTTPS ar a bhlag labhair amach Innealtóir APNIC Geoff Houston. Dar leis, beidh an prótacal nua a fhágann gur féidir dul i ngleic le DNS fuadach ionsaithe, atá tar éis éirí níos coitianta le déanaí. An bhfíric seo Deimhníonn Tuairisc Eanáir ón gcuideachta cibearshlándála FireEye. Thacaigh cuideachtaí móra TF le forbairt an phrótacail freisin.

Ag tús na bliana seo caite, thosaigh an DoH á thástáil ag Google. Agus mí ó shin an chuideachta curtha i láthair Leagan Infhaighteachta Ginearálta dá sheirbhís DoH. Ar Google dóchas, go méadóidh sé slándáil sonraí pearsanta ar an líonra agus go gcosnóidh sé in aghaidh ionsaithe MITM.

Forbróir brabhsálaí eile - Mozilla - tacaíochtaí DNS thar HTTPS ón samhradh seo caite. Ag an am céanna, tá an chuideachta ag cur teicneolaíocht nua chun cinn go gníomhach sa timpeallacht TF. Chuige seo, tá Cumann na Soláthraithe Seirbhísí Idirlín (ISPA) fiú ainmnithe Mozilla le haghaidh Gradam Íospartach Idirlín na Bliana. Mar fhreagra, ionadaithe na cuideachta faoi ​​deara, a bhfuil frustrachas orthu faoin drogall atá ar oibreoirí teileachumarsáide feabhas a chur ar a mbonneagar Idirlín as dáta.

/Dísplash/ TETrebbien

Chun tacú le Mozilla labhair na meáin mhóra amach agus roinnt soláthraithe Idirlín. Go háirithe, ag British Telecom breithnighnach gcuirfidh an prótacal nua isteach ar scagadh ábhair agus go bhfeabhsóidh sé slándáil úsáideoirí na RA. Faoi bhrú poiblí ISPA b'éigean a mheabhrú "villain" ainmniúchán.

Mhol soláthraithe scamall freisin DNS a thabhairt isteach thar HTTPS, mar shampla Cloudflare. Tairgeann siad seirbhísí DNS cheana féin bunaithe ar an bprótacal nua. Tá liosta iomlán de na brabhsálaithe agus na gcliant a thacaíonn leis an Roinn Sláinte ar fáil ag GitHub.

Ar aon nós, ní féidir labhairt go fóill faoi dheireadh an achrann idir an dá champa. Tuar saineolaithe TF, má tá DNS thar HTTPS i ndán a bheith mar chuid den stack teicneolaíochta Idirlín príomhshrutha, go dtógfaidh sé níos mó ná deich mbliana.

Cad eile a scríobhaimid faoi inár mblag corparáideach:

• Conas a thógtar líonra soláthraí Idirlín
• Seirbhísí bunúsacha i líonraí soláthraithe Idirlín
• Cóineasú agus aontú - tascanna iolracha ar aon fheiste amháin

Foinse: will.com