Մենք վերլուծում ենք կարծիքները HTTPS-ի միջոցով DNS-ի առանձնահատկությունների վերաբերյալ, որոնք վերջերս դարձել են «կռվախնձոր» ինտերնետ պրովայդերների և բրաուզեր մշակողների միջև:
Վերջերս խոշոր լրատվամիջոցներ и թեմատիկ հարթակներ (ներառյալ Habr-ը), նրանք հաճախ գրում են DNS-ի մասին HTTPS (DoH) արձանագրության միջոցով: Այն կոդավորում է հարցումները DNS սերվերին և դրանց պատասխանները: Այս մոտեցումը թույլ է տալիս թաքցնել հյուրընկալողների անունները, որոնց օգտատերը մուտք է գործում: Հրապարակումներից կարելի է եզրակացնել, որ նոր արձանագրությունը (IETF-ում հաստատել է այն 2018 թվականին) ՏՏ համայնքը բաժանեց երկու ճամբարի։
Կեսը կարծում է, որ նոր արձանագրությունը կբարելավի ինտերնետի անվտանգությունը և այն ներդնում են իրենց հավելվածներում և ծառայություններում: Մյուս կեսը համոզված է, որ տեխնոլոգիան միայն բարդացնում է համակարգի ադմինիստրատորների գործը։ Հաջորդիվ կվերլուծենք երկու կողմերի փաստարկները։
Ինչպես է աշխատում DoH-ը
Նախքան անդրադառնանք, թե ինչու են ISP-ները և շուկայի այլ մասնակիցները կողմ կամ դեմ DNS-ին HTTPS-ի միջոցով, եկեք համառոտ նայենք, թե ինչպես է այն աշխատում:
DoH-ի դեպքում IP հասցեն որոշելու հարցումն ամփոփվում է HTTPS տրաֆիկի մեջ: Այնուհետև այն գնում է HTTP սերվեր, որտեղ այն մշակվում է API-ի միջոցով: Ահա հարցման օրինակ RFC 8484-ից (էջ 6):
Այսպիսով, DNS տրաֆիկը թաքնված է HTTPS տրաֆիկի մեջ: Հաճախորդը և սերվերը շփվում են 443 ստանդարտ պորտի միջոցով: Արդյունքում դոմենային անունների համակարգին ուղղված հարցումները մնում են անանուն:
Ինչո՞ւ նրան ձեռնտու չէ:
DNS-ի հակառակորդները HTTPS-ի վրա նրանք ասում ենոր նոր արձանագրությունը կնվազեցնի կապերի անվտանգությունը։ Ըստ ըստ DNS-ի մշակման թիմի անդամ Փոլ Վիքսին ավելի կդժվարացնի համակարգի ադմինիստրատորների համար պոտենցիալ վնասակար կայքերի արգելափակումը: Սովորական օգտատերերը կկորցնեն բրաուզերներում պայմանական ծնողական հսկողություն սահմանելու հնարավորությունը:
Փոլի տեսակետները կիսում են Մեծ Բրիտանիայի ինտերնետ պրովայդերները: Երկրի օրենսդրությունը պարտավորեցնում է արգելափակել դրանք արգելված բովանդակությամբ ռեսուրսներից: Բայց բրաուզերներում DoH-ի աջակցությունը բարդացնում է թրաֆիկի զտման խնդիրը: Նոր արձանագրության քննադատները ներառում են նաև Անգլիայի Կառավարական հաղորդակցության կենտրոնը (GCHQ) և Internet Watch Foundation (IWF), որը վարում է արգելափակված ռեսուրսների ռեգիստր։
Փորձագետները նշում են, որ HTTPS-ի միջոցով DNS-ը կարող է դառնալ կիբերանվտանգության սպառնալիք: Հուլիսի սկզբին Netlab-ի տեղեկատվական անվտանգության մասնագետները հայտնաբերված առաջին վիրուսը, որն օգտագործեց նոր արձանագրությունը DDoS հարձակումներ իրականացնելու համար. Գոդլուա. Չարամիտ ծրագիրը մուտք է գործել DoH՝ տեքստային գրառումներ (TXT) ձեռք բերելու և հրամանների և կառավարման սերվերի URL-ներ հանելու համար:
Կոդավորված DoH հարցումները չեն ճանաչվել հակավիրուսային ծրագրերի կողմից: Տեղեկատվական անվտանգության մասնագետներ վախոր Godlua-ից հետո կգան այլ չարամիտ ծրագրեր, որոնք անտեսանելի կլինեն պասիվ DNS մոնիտորինգի համար:
Բայց ոչ բոլորն են դեմ դրան
Ի պաշտպանություն DNS-ի HTTPS-ի միջոցով իր բլոգում խոսեց APNIC-ի ինժեներ Ջեֆ Հյուսթոն: Նրա խոսքով, նոր արձանագրությունը կօգնի պայքարել DNS-ի առևանգման հարձակումների դեմ, որոնք վերջին շրջանում հաճախակի են դառնում։ Այս փաստը հաստատում է Հունվարի զեկույցը կիբերանվտանգության FireEye ընկերության կողմից: Արձանագրության մշակմանն աջակցել են նաև ՏՏ ոլորտի խոշոր ընկերությունները։
Անցյալ տարվա սկզբին DoH-ը սկսեց փորձարկել Google-ում։ Իսկ մեկ ամիս առաջ ընկերությունը ներկայացրել Իր DoH ծառայության ընդհանուր հասանելիության տարբերակը: Google-ում հույս, որ դա կբարձրացնի անձնական տվյալների անվտանգությունը ցանցում և կպաշտպանի MITM հարձակումներից։
Մեկ այլ բրաուզերի մշակող՝ Mozilla. աջակցում է DNS-ը HTTPS-ով անցած ամառվանից: Միևնույն ժամանակ, ընկերությունն ակտիվորեն խթանում է նոր տեխնոլոգիաները ՏՏ միջավայրում։ Դրա համար ինտերնետ ծառայություններ մատուցողների ասոցիացիան (ISPA) նույնիսկ առաջադրվել է Mozilla-ն «Տարվա ինտերնետ չարագործ» մրցանակի համար: Ի պատասխան՝ ընկերության ներկայացուցիչները նշել է,, ովքեր հիասթափված են հեռահաղորդակցության օպերատորների՝ իրենց հնացած ինտերնետ ենթակառուցվածքը բարելավելու դժկամությունից:
Ի աջակցություն Mozilla-ի խոսեցին խոշոր լրատվամիջոցները և որոշ ինտերնետ պրովայդերներ: Մասնավորապես, British Telecom-ում հաշվի առնելոր նոր արձանագրությունը չի ազդի բովանդակության զտման վրա և կբարելավի Մեծ Բրիտանիայի օգտատերերի անվտանգությունը։ Հասարակության ճնշման տակ ISPA պետք էր հետ կանչել «չարագործ» անվանակարգ.
Ամպային պրովայդերները նաև պաշտպանում էին DNS-ի ներդրումը HTTPS-ի միջոցով, օրինակ CloudFlare. Նրանք արդեն առաջարկում են DNS ծառայություններ՝ հիմնված նոր արձանագրության վրա։ Բրաուզերների և հաճախորդների ամբողջական ցանկը, որոնք աջակցում են DoH-ին, հասանելի է այստեղ GitHub.
Համենայնդեպս, առայժմ չի կարելի խոսել երկու ճամբարների դիմակայության ավարտի մասին։ ՏՏ փորձագետները կանխատեսում են, որ եթե HTTPS-ի միջոցով DNS-ը դառնա հիմնական ինտերնետ տեխնոլոգիաների փաթեթի մաս, դա կպահանջի ավելի քան մեկ տասնամյակ.