Mi piace e non mi piace: DNS su HTTPS

Analizziamo le opinioni sulle caratteristiche del DNS su HTTPS, che recentemente sono diventate "oggetto di contesa" tra i provider Internet e gli sviluppatori di browser.

/Unsplash/ Steve Halama

L'essenza del disaccordo

Recentemente principali media и piattaforme tematiche (incluso Habr), scrivono spesso del protocollo DNS over HTTPS (DoH). Crittografa le richieste al server DNS e le risposte ad esse. Questo approccio consente di nascondere i nomi degli host a cui accede l'utente. Dalle pubblicazioni possiamo concludere che il nuovo protocollo (nello IETF lo ha approvato nel 2018) ha diviso la comunità IT in due campi.

La metà ritiene che il nuovo protocollo migliorerà la sicurezza Internet e lo sta implementando nelle proprie applicazioni e servizi. L'altra metà è convinta che la tecnologia non faccia altro che rendere più difficile il lavoro degli amministratori di sistema. Successivamente analizzeremo le argomentazioni di entrambe le parti.

Come funziona il DoH

Prima di spiegare perché gli ISP e gli altri partecipanti al mercato sono a favore o contro il DNS su HTTPS, diamo un'occhiata brevemente a come funziona.

Nel caso di DoH, la richiesta di determinare l’indirizzo IP viene incapsulata nel traffico HTTPS. Quindi va al server HTTP, dove viene elaborato utilizzando l'API. Ecco una richiesta di esempio da RFC 8484 (pagina 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Pertanto, il traffico DNS è nascosto nel traffico HTTPS. Il client e il server comunicano tramite la porta standard 443. Di conseguenza, le richieste al sistema dei nomi di dominio rimangono anonime.

Perché non è favorito?

Avversari del DNS su HTTPS говорятche il nuovo protocollo ridurrà la sicurezza delle connessioni. Di secondo Paul Vixie, membro del team di sviluppo DNS, renderà più difficile per gli amministratori di sistema bloccare i siti potenzialmente dannosi. Gli utenti ordinari perderanno la possibilità di impostare il controllo genitori condizionale nei browser.

Le opinioni di Paul sono condivise dai provider Internet del Regno Unito. Legislazione nazionale impegna bloccarli da risorse con contenuti vietati. Ma il supporto per DoH nei browser complica il compito di filtrare il traffico. I critici del nuovo protocollo includono anche il Government Communications Center in Inghilterra (GCHQ) e la Internet Watch Foundation (IWF), che mantiene un registro delle risorse bloccate.

Nel nostro blog su Habré:

• La guerra ai robot negli USA: chi vince e perché
• Le telecomunicazioni britanniche pagheranno agli abbonati un risarcimento per le interruzioni del servizio

Gli esperti sottolineano che il DNS su HTTPS può diventare una minaccia per la sicurezza informatica. All'inizio di luglio gli specialisti della sicurezza informatica di Netlab ha scoperto il primo virus che ha utilizzato il nuovo protocollo per effettuare attacchi DDoS - Godlua. Il malware ha avuto accesso al DoH per ottenere record di testo (TXT) ed estrarre gli URL dei server di comando e controllo.

Le richieste DoH crittografate non sono state riconosciute dal software antivirus. Specialisti della sicurezza informatica paurache dopo Godlua arriveranno altri malware, invisibili al monitoraggio DNS passivo.

Ma non tutti sono contrari

In difesa del DNS su HTTPS sul suo blog ha parlato Ingegnere dell'APNIC Geoff Houston. Secondo lui, il nuovo protocollo consentirà di combattere gli attacchi di dirottamento DNS, che negli ultimi tempi sono diventati sempre più comuni. Questo fatto conferma Rapporto di gennaio della società di sicurezza informatica FireEye. Anche le grandi aziende informatiche hanno sostenuto lo sviluppo del protocollo.

All’inizio dello scorso anno, Google ha iniziato a testare la DoH. E un mese fa l'azienda presentato Versione di disponibilità generale del suo servizio DoH. Su Google speranza, che aumenterà la sicurezza dei dati personali sulla rete e proteggerà dagli attacchi MITM.

Un altro sviluppatore di browser - Mozilla - поддерживает DNS su HTTPS dalla scorsa estate. Allo stesso tempo, l'azienda promuove attivamente le nuove tecnologie nell'ambiente IT. Per questo, l’Associazione dei fornitori di servizi Internet (ISPA) addirittura nominato Premio Mozilla per il cattivo dell'anno su Internet. In risposta, i rappresentanti dell'azienda noto, frustrati dalla riluttanza degli operatori di telecomunicazioni a migliorare la loro infrastruttura Internet obsoleta.

/Unsplash/ TETrebbien

A sostegno di Mozilla i principali media hanno parlato e alcuni provider Internet. In particolare, alla British Telecom prendere in considerazioneche il nuovo protocollo non influirà sul filtraggio dei contenuti e migliorerà la sicurezza degli utenti del Regno Unito. Sotto la pressione dell'opinione pubblica ISPA doveva essere richiamato nomina "cattivo".

Anche i fornitori di servizi cloud si sono espressi a favore dell’introduzione del DNS su HTTPS Cloudflare. Offrono già servizi DNS basati sul nuovo protocollo. Un elenco completo di browser e client che supportano DoH è disponibile all'indirizzo GitHub.

In ogni caso, non è ancora possibile parlare della fine del confronto tra i due schieramenti. Gli esperti IT prevedono che se il DNS su HTTPS è destinato a diventare parte dello stack tecnologico di Internet tradizionale, ciò avverrà non un decennio.

Di cos'altro scriviamo nel nostro blog aziendale:

• Come è costruita la rete del provider Internet
• Servizi di base nelle reti dei provider Internet
• Convergenza e unificazione: più attività su un unico dispositivo

Fonte: habr.com