Bubar, media utama ΠΈ platform tematik (kalebu Habr), dheweke kerep nulis babagan DNS liwat protokol HTTPS (DoH). Iku encrypts panjalukan kanggo server DNS lan respon kanggo wong-wong mau. Pendekatan iki ngidini sampeyan ndhelikake jeneng host sing diakses pangguna. Saka publikasi kita bisa nyimpulake yen protokol anyar (ing IETF disetujoni ing 2018) dibagi komunitas IT dadi rong kamp.
Setengah percaya yen protokol anyar bakal nambah keamanan Internet lan ngetrapake ing aplikasi lan layanan. Setengah liyane yakin yen teknologi mung nggawe tugas administrator sistem luwih angel. Sabanjure, kita bakal nganalisa argumentasi loro-lorone.
Cara kerja DoH
Sadurunge kita ngerteni sebabe ISP lan peserta pasar liyane ndhukung utawa nglawan DNS liwat HTTPS, ayo ndeleng kanthi ringkes cara kerjane.
Ing kasus DoH, panyuwunan kanggo nemtokake alamat IP dienkapsulasi ing lalu lintas HTTPS. Banjur pindhah menyang server HTTP, ing ngendi diproses nggunakake API. Iki minangka conto panyuwunan saka RFC 8484 (kaca 6):
Mungsuh DNS liwat HTTPS padha ngomongyen protokol anyar bakal nyuda keamanan sambungan. Miturut miturut Paul Vixie, anggota tim pangembangan DNS, bakal nggawe luwih angel kanggo pangurus sistem kanggo mblokir situs sing duweni potensi jahat. Pangguna biasa bakal kelangan kemampuan kanggo nyetel kontrol parental kondisional ing browser.
Pandangan Paul dituduhake dening panyedhiya internet Inggris. Undang-undang negara wajib mblokir saka sumber daya karo konten sing dilarang. Nanging dhukungan kanggo DoH ing browser nggawe rumit tugas nyaring lalu lintas. Kritikus protokol anyar uga kalebu Pusat Komunikasi Pemerintah ing Inggris (GCHQ) lan Internet Watch Foundation (IMF), sing njaga daftar sumber daya sing diblokir.
Para ahli nyathet yen DNS liwat HTTPS bisa dadi ancaman keamanan siber. Ing awal Juli, spesialis keamanan informasi saka Netlab ditemokake virus pisanan sing nggunakake protokol anyar kanggo nindakake serangan DDoS - Godlua. Malware ngakses DoH kanggo njupuk cathetan teks (TXT) lan ngekstrak perintah lan ngontrol URL server.
Panjaluk DoH sing dienkripsi ora diakoni dening piranti lunak antivirus. Spesialis keamanan informasi wediyen sawise Godlua malware liyane bakal teka, ora katon kanggo ngawasi DNS pasif.
Nanging ora saben wong nglawan
Ing pertahanan DNS liwat HTTPS ing blog ngandika metu Insinyur APNIC Geoff Houston. Miturut dheweke, protokol anyar bakal ngidini kanggo nglawan serangan pembajakan DNS, sing bubar dadi umum. Kasunyatan iki nandheske Laporan Januari saka perusahaan cybersecurity FireEye. Perusahaan IT gedhe uga ndhukung pangembangan protokol kasebut.
Ing awal taun kepungkur, DoH wiwit diuji ing Google. Lan sasi kepungkur perusahaan diwenehi Versi Ketersediaan Umum layanan DoH. Ing Google pangarep-arep, sing bakal nambah keamanan data pribadhi ing jaringan lan nglindhungi saka serangan MITM.
Pangembang browser liyane - Mozilla - ndhukung DNS liwat HTTPS wiwit musim panas pungkasan. Ing wektu sing padha, perusahaan kasebut aktif promosi teknologi anyar ing lingkungan IT. Kanggo iki, Asosiasi Penyedia Layanan Internet (ISPA) malah nominasi Mozilla kanggo Internet Villain of the Year Award. Nanggepi, wakil perusahaan nyatet, sing frustasi amarga keengganan operator telekomunikasi kanggo nambah infrastruktur Internet sing wis lawas.
Ndhukung Mozilla media utama ngandika metu lan sawetara panyedhiya Internet. Utamane, ing British Telecom nimbangmanawa protokol anyar ora bakal mengaruhi panyaring konten lan bakal nambah keamanan pangguna Inggris. Ing tekanan umum ISPA kudu dieling-eling nominasi "penjahat".
Panyedhiya awan uga nyengkuyung introduksi DNS liwat HTTPS, umpamane cloudflare. Dheweke wis nawakake layanan DNS adhedhasar protokol anyar. Dhaptar lengkap browser lan klien sing ndhukung DoH kasedhiya ing GitHub.