Jħobb u ma jħobb: DNS fuq HTTPS

Aħna nanalizzaw l-opinjonijiet dwar il-karatteristiċi tad-DNS fuq HTTPS, li reċentement saru "għadam ta' kontestazzjoni" fost il-fornituri tal-Internet u l-iżviluppaturi tal-browser.

/Unsplash/ Steve Halama

L-essenza tan-nuqqas ta' qbil

Dan l-aħħar midja ewlenija и pjattaformi tematiċi (inkluż Habr), spiss jiktbu dwar il-protokoll DNS fuq HTTPS (DoH). Jikkodifika t-talbiet lis-server DNS u t-tweġibiet għalihom. Dan l-approċċ jippermettilek taħbi l-ismijiet tal-hosts li l-utent jaċċessa. Mill-pubblikazzjonijiet nistgħu nikkonkludu li l-protokoll il-ġdid (fl-IETF approvaha fl-2018) qasmet il-komunità tal-IT f'żewġ kampijiet.

Nofs jemmnu li l-protokoll il-ġdid se jtejjeb is-sigurtà tal-Internet u qed jimplimentawh fl-applikazzjonijiet u s-servizzi tagħhom. In-nofs l-ieħor huwa konvint li t-teknoloġija tagħmel ix-xogħol tal-amministraturi tas-sistema biss aktar diffiċli. Sussegwentement, se nanalizzaw l-argumenti taż-żewġ naħat.

Kif jaħdem id-DoH

Qabel ma nidħlu għaliex l-ISPs u parteċipanti oħra fis-suq huma favur jew kontra d-DNS fuq HTTPS, ejja nħarsu fil-qosor lejn kif taħdem.

Fil-każ ta 'DoH, it-talba biex jiġi ddeterminat l-indirizz IP hija inkapsulata fit-traffiku HTTPS. Imbagħad imur għas-server HTTP, fejn jiġi pproċessat bl-użu tal-API. Hawnhekk hawn talba eżempju minn RFC 8484 (paġna 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Għalhekk, it-traffiku DNS huwa moħbi fit-traffiku HTTPS. Il-klijent u s-server jikkomunikaw fuq il-port standard 443. Bħala riżultat, it-talbiet lis-sistema tal-isem tad-dominju jibqgħu anonimi.

Għaliex mhux iffavorit?

Avversarji tad-DNS fuq HTTPS jgħiduli l-protokoll il-ġdid se jnaqqas is-sigurtà tal-konnessjonijiet. Permezz skond Paul Vixie, membru tat-tim tal-iżvilupp tad-DNS, se jagħmilha aktar diffiċli għall-amministraturi tas-sistema biex jimblokkaw siti potenzjalment malizzjużi. L-utenti ordinarji jitilfu l-abbiltà li jistabbilixxu kontrolli tal-ġenituri kondizzjonali fil-browsers.

Il-fehmiet ta’ Paul huma kondiviżi minn fornituri tal-internet tar-Renju Unit. Leġislazzjoni tal-pajjiż jobbliga jimblokkahom minn riżorsi b'kontenut ipprojbit. Iżda l-appoġġ għal DoH fil-browsers jikkomplika l-kompitu tal-iffiltrar tat-traffiku. Il-kritiċi tal-protokoll il-ġdid jinkludu wkoll iċ-Ċentru tal-Komunikazzjoni tal-Gvern fl-Ingilterra (GCHQ) u l-Internet Watch Foundation (IWF), li żżomm reġistru tar-riżorsi mblukkati.

Fil-blog tagħna dwar Habré:

• Il-gwerra fuq robocalls fl-Istati Uniti - min qed jirbaħ u għaliex
• It-telekomunikazzjonijiet Brittaniċi se jħallsu lill-abbonati kumpens għal interruzzjonijiet tas-servizz

L-esperti jinnotaw li d-DNS fuq HTTPS jista 'jsir theddida taċ-ċibersigurtà. Fil-bidu ta 'Lulju, speċjalisti tas-sigurtà tal-informazzjoni minn Netlab skoperti l-ewwel virus li uża l-protokoll il-ġdid biex iwettaq attakki DDoS - Godlua. Il-malware aċċessa DoH biex jikseb rekords tat-test (TXT) u estratt URLs tas-server tal-kmand u l-kontroll.

It-talbiet DoH encrypted ma ġewx rikonoxxuti minn softwer antivirus. Speċjalisti tas-sigurtà tal-informazzjoni jibżgħuli wara Godlua malware ieħor se jidħlu, inviżibbli għall-monitoraġġ DNS passiv.

Imma mhux kulħadd huwa kontra

Fid-difiża tad-DNS fuq HTTPS fuq il-blog tiegħu tkellem L-inġinier tal-APNIC Geoff Houston. Skont hu, il-protokoll il-ġdid se jgħin fil-ġlieda kontra l-attakki tal-ħtif tad-DNS, li saru dejjem aktar komuni dan l-aħħar. Dan il-fatt jikkonferma Rapport ta’ Jannar mill-kumpanija tas-sigurtà ċibernetika FireEye. Kumpaniji kbar tal-IT appoġġaw ukoll l-iżvilupp tal-protokoll.

Fil-bidu tas-sena li għaddiet, DoH beda jiġi ttestjat fuq Google. U xahar ilu l-kumpanija ippreżentata Verżjoni tad-Disponibbiltà Ġenerali tas-servizz DoH tagħha. Fuq Google tama, li se żżid is-sigurtà tad-dejta personali fuq in-netwerk u tipproteġi kontra l-attakki tal-MITM.

Żviluppatur ieħor tal-browser - Mozilla - jappoġġja DNS fuq HTTPS mis-sajf li għadda. Fl-istess ħin, il-kumpanija qed tippromwovi b'mod attiv teknoloġija ġdida fl-ambjent tal-IT. Għal dan, l-Assoċjazzjoni tal-Fornituri tas-Servizzi tal-Internet (ISPA) anke nominati Mozilla għall-Premju tal-Villain tal-Internet tas-Sena. Bi tweġiba, rappreżentanti tal-kumpanija innota, li huma frustrati mir-riluttanza tal-operaturi tat-telekomunikazzjoni biex itejbu l-infrastruttura tal-Internet skaduta tagħhom.

/Unsplash/ TETrebbien

B'appoġġ għal Mozilla midja ewlenija tkellmet u xi fornituri tal-Internet. B'mod partikolari, fil-British Telecom tikkunsidrali l-protokoll il-ġdid mhux se jaffettwa l-iffiltrar tal-kontenut u se jtejjeb is-sigurtà tal-utenti tar-Renju Unit. Taħt pressjoni pubblika ISPA kellu jiġi mfakkar nomina ta’ “villain”.

Il-fornituri tal-cloud kienu favur ukoll l-introduzzjoni tad-DNS fuq HTTPS, pereżempju Cloudflare. Diġà joffru servizzi DNS ibbażati fuq il-protokoll il-ġdid. Lista kompluta ta' browsers u klijenti li jappoġġjaw id-DoH hija disponibbli fuq GitHub.

Fi kwalunkwe każ, għadu mhux possibbli li nitkellmu dwar it-tmiem tal-konfront bejn iż-żewġ kampijiet. L-esperti tal-IT ibassru li jekk id-DNS fuq HTTPS ikun iddestinat li jsir parti mill-munzell tat-teknoloġija tal-Internet mainstream, se tieħu aktar minn għaxar snin.

Fuq xiex niktbu aktar fil-blog korporattiv tagħna:

• Kif jinbena n-netwerk tal-fornitur tal-Internet
• Servizzi bażiċi fin-netwerks tal-fornituri tal-Internet
• Konverġenza u unifikazzjoni - kompiti multipli fuq apparat wieħed

Sors: www.habr.com