Elemezzük a HTTPS-n keresztüli DNS szolgáltatásaival kapcsolatos véleményeket, amelyek az utóbbi időben „vitacsillaggá” váltak az internetszolgáltatók és a böngészőfejlesztők körében.
Utóbbi időben jelentős médiumok и tematikus platformok (beleértve a Habr-t is), gyakran írnak a DNS over HTTPS (DoH) protokollról. Titkosítja a DNS-kiszolgálóhoz intézett kéréseket és az azokra adott válaszokat. Ez a megközelítés lehetővé teszi a felhasználó által elért gazdagépek nevének elrejtését. A publikációkból arra a következtetésre juthatunk, hogy az új protokoll (az IETF-ben jóváhagyta 2018-ban) két táborra osztotta az informatikai közösséget.
A fele úgy gondolja, hogy az új protokoll javítani fogja az internet biztonságát, és ezt beépítik alkalmazásaikba és szolgáltatásaikba. A másik fele meg van győződve arról, hogy a technológia csak megnehezíti a rendszergazdák dolgát. Ezután mindkét oldal érveit elemezzük.
Hogyan működik a DoH
Mielőtt rátérnénk arra, hogy az internetszolgáltatók és más piaci szereplők miért támogatják vagy ellenzik a DNS-t HTTPS-n keresztül, nézzük meg röviden, hogyan működik.
A DoH esetében az IP-cím meghatározására irányuló kérés HTTPS-forgalomba van beágyazva. Ezután a HTTP szerverre kerül, ahol az API segítségével feldolgozzák. Íme egy példa kérés az RFC 8484-től (6 oldal):
Így a DNS-forgalom el van rejtve a HTTPS-forgalomban. Az ügyfél és a kiszolgáló a szabványos 443-as porton keresztül kommunikál egymással. Ennek eredményeként a tartománynévrendszerhez intézett kérések névtelenek maradnak.
Miért nem őt kedvelik?
A HTTPS-en keresztüli DNS ellenzői mondhogy az új protokoll csökkenti a kapcsolatok biztonságát. Által szerint Paul Vixie, a DNS-fejlesztő csapat tagja megnehezíti a rendszergazdák dolgát, hogy blokkolják a potenciálisan rosszindulatú webhelyeket. Az átlagos felhasználók elveszítik a feltételes szülői felügyelet beállításának lehetőségét a böngészőkben.
Paul nézeteit az Egyesült Királyság internetszolgáltatói is osztják. Az ország jogszabályai kötelezi blokkolja őket a tiltott tartalmú forrásokból. De a DoH támogatása a böngészőkben megnehezíti a forgalom szűrésének feladatát. Az új protokoll kritikusai közé tartozik az angliai kormányzati kommunikációs központ is (GCHQ) és az Internet Watch Foundation (IWF), amely nyilvántartást vezet a blokkolt erőforrásokról.
A szakértők megjegyzik, hogy a HTTPS-n keresztüli DNS kiberbiztonsági fenyegetéssé válhat. Július elején a Netlab információbiztonsági szakemberei felfedezték az első vírus, amely az új protokollt használta DDoS támadások végrehajtására - Godlua. A rosszindulatú program hozzáfért a DoH-hoz, hogy szöveges rekordokat (TXT) szerezzen, és kivonja a parancs- és vezérlőkiszolgáló URL-címeit.
A titkosított DoH kéréseket a víruskereső szoftver nem ismerte fel. Információbiztonsági szakemberek félelemhogy Godlua után más rosszindulatú programok is érkeznek, amelyek láthatatlanok a passzív DNS-felügyelet számára.
De nem mindenki ellenzi
A HTTPS-en keresztüli DNS védelmében a blogjában elmondja a véleményét APNIC mérnök Geoff Houston. Elmondása szerint az új protokoll lehetővé teszi az utóbbi időben egyre gyakoribbá váló DNS-eltérítő támadások elleni küzdelmet. Ezt a tényt megerősíti A FireEye kiberbiztonsági cég januári jelentése. A protokoll fejlesztését nagy informatikai cégek is támogatták.
Tavaly év elején kezdték el tesztelni a DoH-t a Google-nál. És egy hónappal ezelőtt a cég bemutatott DoH szolgáltatásának általános elérhetőségi verziója. A Google-on remény, hogy növeli a személyes adatok biztonságát a hálózaton és védelmet nyújt a MITM támadásokkal szemben.
Egy másik böngésző fejlesztő - Mozilla - támogatja DNS HTTPS-en keresztül tavaly nyár óta. Ugyanakkor a cég aktívan népszerűsíti az új technológiákat az informatikai környezetben. Ehhez az Internet Services Providers Association (ISPA) sőt jelölték is A Mozilla az év internetes gonosztevője díjért. Válaszul a cég képviselői neves, akiket frusztrált a távközlési szolgáltatók vonakodása elavult internetes infrastruktúrájuk fejlesztésétől.
A Mozilla támogatására megszólalt a nagy média és néhány internetszolgáltató. Különösen a British Telecomnál úgyhogy az új protokoll nem érinti a tartalomszűrést, és javítja a brit felhasználók biztonságát. A nyilvánosság nyomására ISPA vissza kellett idézni "gazember" jelölés.
A felhőszolgáltatók például a DNS HTTPS-en keresztüli bevezetését is támogatták CloudFlare. Már kínálnak DNS-szolgáltatásokat az új protokoll alapján. A DoH-t támogató böngészők és kliensek teljes listája itt érhető el GitHub.
Mindenesetre a két tábor közötti összetűzés végéről még nem lehet beszélni. Az informatikai szakértők azt jósolják, hogy ha a HTTPS-n keresztüli DNS-nek a sorsa a mainstream internetes technológiai halmaz részévé válik, nem egy évtizedet.