Likes and Dislikes: DNS iwwer HTTPS

Mir analyséieren Meenungen iwwer d'Features vun DNS iwwer HTTPS, déi viru kuerzem zu engem "Knach vun der Sträit" tëscht Internet Ubidder a Browser Entwéckler ginn.

/Unsplash/ Steve Halama

D'Essenz vun der Desaccord

Viru kuerzem, grouss Medien и thematesch Plattformen (och Habr), schreiwen se dacks iwwer den DNS iwwer HTTPS (DoH) Protokoll. Et verschlësselt Ufroen un den DNS Server an Äntwerten op hinnen. Dës Approche erlaabt Iech d'Nimm vun den Hosten ze verstoppen, déi de Benotzer zougräift. Aus de Publikatiounen kënne mir ofschléissen datt den neie Protokoll (am IETF guttgeheescht et am 2018) huet d'IT Gemeinschaft an zwee Lageren opgedeelt.

D'Halschent gleewen datt den neie Protokoll d'Internetsécherheet verbessert an se an hir Uwendungen a Servicer implementéieren. Déi aner Halschent ass iwwerzeegt datt d'Technologie nëmmen d'Aarbecht vun de Systemadministratoren méi schwéier mécht. Als nächst wäerte mir d'Argumenter vu béide Säiten analyséieren.

Wéi DoH funktionnéiert

Ier mer an firwat ISPs an aner Maart Participanten fir oder géint DNS iwwer HTTPS sinn, kucke mer kuerz wéi et funktionnéiert.

Am Fall vun DoH ass d'Ufro fir d'IP Adress ze bestëmmen am HTTPS Traffic encapsuléiert. Et geet dann op den HTTP-Server, wou et mat der API veraarbecht gëtt. Hei ass e Beispill Ufro vum RFC 8484 (Säit 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Also ass den DNS Traffic am HTTPS Traffic verstoppt. De Client an de Server kommunizéieren iwwer de Standardport 443. Als Resultat bleiwen d'Ufroen un den Domain Numm System anonym.

Firwat ass hien net favoriséiert?

Géigner vun DNS iwwer HTTPS soendatt den neie Protokoll d'Sécherheet vun de Verbindungen reduzéiert. Vun geméiss De Paul Vixie, e Member vum DNS Entwécklungsteam, wäert et méi schwéier maachen fir Systemadministrateuren potenziell béiswëlleg Site ze blockéieren. Gewéinlech Benotzer verléieren d'Fähigkeit fir bedingte Elteren Kontrollen a Browser opzestellen.

Dem Paul seng Meenung gi vun den UK Internet Ubidder gedeelt. Land Gesetzgebung verflicht blockéiert se vu Ressourcen mat verbuedenen Inhalt. Awer Ënnerstëtzung fir DoH a Browser komplizéiert d'Aufgab vum Traffic ze filteren. Kritiker vum neie Protokoll enthalen och de Government Communications Center an England (GCHQ) an d'Internet Watch Foundation (FMI), déi e Register vu blockéierte Ressourcen hält.

An eisem Blog op Habré:

• US Robocall Krich - wien gewënnt a firwat
• Britesch Telekommunikatioune bezuelen Abonnente Kompensatioun fir Service Ënnerbriechungen

Experten bemierken datt DNS iwwer HTTPS eng Cybersécherheetsbedrohung ka ginn. Ufank Juli hunn Informatiounssécherheetsspezialisten vun Netlab entdeckt den éischte Virus deen den neie Protokoll benotzt huet fir DDoS Attacken auszeféieren - Godlua. D'Malware huet Zougang zu DoH fir Textrecords (TXT) ze kréien an Kommando- a Kontrollserver URLen ze extrahieren.

Verschlësselte DoH Ufroe goufen net vun Antivirus Software unerkannt. Informatioun Sécherheet Spezialisten fäertendatt no Godlua aner Malware kommen, onsichtbar fir passiv DNS Iwwerwaachung.

Awer net jiddereen ass dogéint

A Verteidegung vun DNS iwwer HTTPS op sengem Blog geschwat APNIC Ingenieur Geoff Houston. Laut him wäert den neie Protokoll et méiglech maachen DNS-Kapingattacken ze bekämpfen, déi viru kuerzem ëmmer méi heefeg ginn. Dës Tatsaach bestätegt Januar Bericht vun der Cybersecurity Firma FireEye. Grouss IT Firmen hunn och d'Entwécklung vum Protokoll ënnerstëtzt.

Am Ufank vum leschte Joer huet DoH ugefaang bei Google getest ze ginn. A virun engem Mount d'Firma presentéiert Allgemeng Disponibilitéit Versioun vu sengem DoH Service. Op Google hoffen, datt et d'Sécherheet vu perséinlechen Donnéeën am Netz erhéijen a géint MITM Attacke schützt.

En anere Browser Entwéckler - Mozilla - ënnerstëtzt DNS iwwer HTTPS zënter leschte Summer. Zur selwechter Zäit fördert d'Firma aktiv nei Technologie am IT-Ëmfeld. Fir dëst ass d'Internet Services Provider Association (ISPA) souguer nominéiert Mozilla fir Internet Villain vum Joer Award. Als Äntwert, Firma Vertrieder bemierkt, déi frustréiert sinn duerch d'Verzweiflung vun den Telekomoperateuren fir hir verännert Internetinfrastruktur ze verbesseren.

/Unsplash/ TETrebbien

Fir Mozilla z'ënnerstëtzen grouss Medien geschwat an e puer Internet Ubidder. Besonnesch bei British Telecom betruechtdatt den neie Protokoll keen Inhaltsfilter beaflosst an d'Sécherheet vun de UK Benotzer verbessert. Ënner ëffentlechen Drock ISPA huet missen erënnert ginn "Schlecht" Nominatioun.

Cloud Provider hunn och d'Aféierung vun DNS iwwer HTTPS agesat, zum Beispill Cloudflare. Si bidden schonn DNS Servicer op Basis vum neie Protokoll. Eng komplett Lëscht vu Browser a Clienten déi DoH ënnerstëtzen ass verfügbar op GitHub.

Iwwert d'Enn vun der Konfrontatioun tëscht deenen zwee Lageren ass op alle Fall nach net méiglech. IT Experten viraussoen datt wann DNS iwwer HTTPS bestëmmt ass en Deel vum Mainstream Internet Technologie Stack ze ginn, et wäert huelen méi wéi ee Joerzéngt.

Wat soss schreiwen mer iwwer an eisem Firmeblog:

• Wéi den Internet Provider Reseau gebaut ass
• Basis Servicer am Internet Provider Netzwierker
• Konvergenz an Unificatioun - verschidde Aufgaben op engem Apparat

Source: will.com