Nou analize opinyon konsènan karakteristik DNS sou HTTPS, ki dènyèman te vin tounen yon "zo nan diskisyon" nan mitan founisè entènèt ak devlopè navigatè.
/Unsplash/
Sans nan dezakò a
Dènyèman и (ki gen ladan Habr), yo souvan ekri sou pwotokòl DNS sou HTTPS (DoH). Li ankripte demann nan sèvè dns la ak repons yo. Apwòch sa a pèmèt ou kache non lame yo ke itilizatè a jwenn aksè. Soti nan piblikasyon yo nou ka konkli ke nouvo pwotokòl la (nan IETF la an 2018) te divize kominote IT an de kan.
Mwatye kwè ke nouvo pwotokòl la pral amelyore sekirite Entènèt epi yo ap aplike li nan aplikasyon yo ak sèvis yo. Lòt mwatye a konvenki ke teknoloji sèlman fè travay administratè sistèm yo pi difisil. Apre sa, nou pral analize agiman tou de bò yo.
Ki jan DoH ap travay
Anvan nou antre nan poukisa ISP yo ak lòt patisipan mache yo pou oswa kont DNS sou HTTPS, ann gade yon ti tan sou kijan li fonksyone.
Nan ka DoH, demann pou detèmine adrès IP la enkapsule nan trafik HTTPS. Lè sa a, li ale nan sèvè HTTP a, kote li trete lè l sèvi avèk API a. Men yon egzanp demann ki soti nan RFC 8484 ():
:method = GET
:scheme = https
:authority = dnsserver.example.net
:path = /dns-query?
dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
accept = application/dns-message
Kidonk, trafik DNS kache nan trafik HTTPS. Kliyan an ak sèvè kominike sou pò estanda 443 la. Kòm yon rezilta, demann nan sistèm nan non domèn rete anonim.
Poukisa li pa favorize?
Opozan DNS sou HTTPS ke nouvo pwotokòl la pral diminye sekirite koneksyon yo. Pa Paul Vixie, yon manm ekip devlopman DNS la, pral rann li pi difisil pou administratè sistèm yo bloke sit ki kapab move. Itilizatè òdinè yo pral pèdi kapasite pou yo mete kontwòl paran kondisyonèl nan navigatè yo.
Opinyon Pòl yo pataje pa founisè entènèt UK. Lejislasyon peyi a bloke yo nan resous ak kontni entèdi. Men, sipò pou DoH nan navigatè konplike travay la nan filtraj trafik. Moun ki kritike nouvo pwotokòl la gen ladan tou Sant Kominikasyon Gouvènman an nan Angletè () ak Fondasyon Entènèt Watch (), ki kenbe yon rejis resous bloke yo.
Nan blog nou an sou Habré:
Ekspè yo remake ke DNS sou HTTPS ka vin yon menas cybersecurity. Nan kòmansman mwa Jiyè, espesyalis sekirite enfòmasyon ki soti nan Netlab premye viris ki te itilize nouvo pwotokòl la pou fè atak DDoS - . Malveyan yo te jwenn aksè nan DoH pou jwenn dosye tèks (TXT) ak ekstrè URL sèvè lòd ak kontwòl.
Lojisyèl antivirus pa rekonèt demann DoH ki ankripte yo. Espesyalis sekirite enfòmasyon ke apre Godlua lòt malveyan ap vini, envizib nan siveyans DNS pasif.
Men, se pa tout moun ki kont li
Nan defans DNS sou HTTPS sou blog li Enjenyè APNIC Geoff Houston. Dapre li, nouvo pwotokòl la pral fè li posib pou konbat atak vòlè DNS, ki fèk vin de pli zan pli komen. Reyalite sa a Rapò janvye soti nan konpayi cybersecurity FireEye. Gwo konpayi IT yo te sipòte tou devlopman pwotokòl la.
Nan kòmansman ane pase a, DoH te kòmanse fè tès nan Google. Ak yon mwa de sa konpayi an Vèsyon Disponibilite Jeneral nan sèvis DoH li yo. Sou Google , ke li pral ogmante sekirite a nan done pèsonèl sou rezo a ak pwoteje kont atak MITM.
Yon lòt devlopè navigatè - Mozilla - DNS sou HTTPS depi ete pase a. An menm tan an, konpayi an ap fè pwomosyon aktivman nouvo teknoloji nan anviwònman IT. Pou sa, Asosyasyon Founisè Sèvis Entènèt (ISPA) Mozilla pou prim mechan entènèt pou ane a. An repons, reprezantan konpayi yo , ki fristre pa repiyans operatè telecom pou amelyore enfrastrikti entènèt demode yo.
/Unsplash/
Nan sipò Mozilla ak kèk founisè entènèt. An patikilye, nan British Telecom ke nouvo pwotokòl la pa pral afekte filtraj kontni epi li pral amelyore sekirite itilizatè UK yo. Anba presyon piblik ISPA "mechan" nominasyon.
Founisè Cloud yo te defann tou entwodiksyon DNS sou HTTPS, pou egzanp . Yo deja ofri sèvis DNS ki baze sou nouvo pwotokòl la. Yon lis konplè navigatè ak kliyan ki sipòte DoH disponib nan .
Antouka, li poko posib pou n pale sou fen konfwontasyon ant de kan yo. Ekspè IT predi ke si DNS sou HTTPS se destine pou vin yon pati nan pil teknoloji entènèt endikap, li pral pran. .
Ki lòt bagay nou ekri sou blog antrepriz nou an:
Sous: www.habr.com