خوښونه او ناخوښي: DNS په HTTPS کې

موږ د HTTPS په اړه د DNS ځانګړتیاو په اړه نظرونه تحلیل کوو، کوم چې پدې وروستیو کې د انټرنیټ چمتو کونکو او براوزر پراختیا کونکو ترمنځ "د شخړې هډوکي" بدل شوي.

/نه خلاصول/ سټیو هلاما

د اختلاف اصل

په دې وروستیو کې، مهمې رسنۍ и موضوعي پلیټ فارمونه (د Habr په شمول)، دوی ډیری وختونه د HTTPS (DoH) پروتوکول په اړه د DNS په اړه لیکي. دا د DNS سرور ته غوښتنې کوډ کوي او دوی ته ځوابونه. دا طریقه تاسو ته اجازه درکوي د کوربه نومونه پټ کړئ چې کارن ورته لاسرسی لري. د خپرونو څخه موږ پایله کولی شو چې نوی پروتوکول (په IETF کې تصویب کړ په 2018 کې) د آی ټي ټولنه په دوه کمپونو ویشلې.

نیمایي په دې باور دي چې نوی پروتوکول به د انټرنیټ امنیت ښه کړي او دا به په خپلو غوښتنلیکونو او خدماتو کې پلي کړي. بله نیمه قانع ده چې ټیکنالوژي یوازې د سیسټم مدیرانو دنده خورا ستونزمن کوي. بیا، موږ به د دواړو خواوو دلیلونه تحلیل کړو.

DoH څنګه کار کوي

مخکې لدې چې موږ پوه شو چې ولې ISPs او د بازار نور برخه اخیستونکي د HTTPS په اړه د DNS لپاره یا مخالف دي ، راځئ چې په لنډ ډول وګورو چې دا څنګه کار کوي.

د DoH په حالت کې، د IP پته ټاکلو غوښتنه د HTTPS ټرافیک کې پوښل شوې. دا بیا د HTTP سرور ته ځي، چیرته چې دا د API په کارولو سره پروسس کیږي. دلته د RFC 8484 څخه یوه بیلګه غوښتنه ده (مخ 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

په دې توګه، د DNS ټرافيک په HTTPS ترافیک کې پټ دی. پیرودونکي او سرور د معیاري پورټ 443 له لارې اړیکه نیسي. د پایلې په توګه، د ډومین نوم سیسټم غوښتنې پټ پاتې کیږي.

ولې هغه نه خوښیږي؟

د HTTPS په اړه د DNS مخالفین دوی وایيچې نوی پروتوکول به د اړیکو امنیت کم کړي. لخوا د پاول ویکسی، د DNS پراختیایی ټیم غړی، به د سیسټم مدیرانو لپاره دا ډیر ستونزمن کړي چې احتمالي ناوړه سایټونه بند کړي. عادي کارونکي به په براوزرونو کې د مشروط والدین کنټرولونو تنظیم کولو وړتیا له لاسه ورکړي.

د پاول نظرونه د انګلستان انټرنیټ چمتو کونکو لخوا شریک شوي. د هیواد قانون مکلف دی دوی د منع شوي مینځپانګې سره د سرچینو څخه بند کړئ. مګر په براوزرونو کې د DoH ملاتړ د ترافیک فلټر کولو دنده پیچلې کوي. د نوي پروتوکول په انتقاد کونکو کې په انګلستان کې د حکومت د مخابراتو مرکز هم شامل دی (GCHQ) او د انټرنیټ څار بنسټ (IMF د)، کوم چې د بند شوي سرچینو راجستر ساتي.

په هابري کې زموږ په بلاګ کې:

• په متحده ایالاتو کې د روبوکالونو جګړه - څوک ګټي او ولې
• برتانوي مخابراتي شرکتونه به د خدماتو مداخلو لپاره پیرودونکو ته تاوان ورکړي

متخصصین یادونه کوي چې د HTTPS په اړه DNS کولی شي د سایبر امنیت ګواښ شي. د جولای په پیل کې، د Netlab څخه د معلوماتو امنیت متخصصین کشف شو لومړی ویروس چې نوی پروتوکول یې د DDoS بریدونو ترسره کولو لپاره کارولی - Godlua. مالویر د متن ریکارډونو (TXT) ترلاسه کولو او د کمانډ او کنټرول سرور URLs استخراج لپاره DoH ته لاسرسی درلود.

د کوډ شوي DoH غوښتنې د انټي ویروس سافټویر لخوا ندي پیژندل شوي. د معلوماتو امنیت متخصصین ډاريږيدا چې د Godlua وروسته نور مالویر به راشي ، د غیر فعال DNS نظارت لپاره نه لیدل کیږي.

مګر هرڅوک د دې مخالف ندي

په خپل بلاګ کې د HTTPS په اړه د DNS په دفاع کې خبرې وکړې د APNIC انجنیر جیوف هوسټن. د هغه په ​​​​وینا، نوی پروتوکول به دا ممکنه کړي چې د DNS د تښتولو بریدونو سره مبارزه وکړي، کوم چې پدې وروستیو کې په زیاتیدونکې توګه عام شوي. دا حقیقت تصدیق کوي د جنوري راپور د سایبر امنیت شرکت FireEye څخه. د آی ټي لوی شرکتونو هم د پروتوکول پراختیا ملاتړ وکړ.

د تیر کال په پیل کې، DoH په ګوګل کې ازموینه پیل کړه. او یوه میاشت دمخه شرکت وړاندې د دې DoH خدمت عمومي شتون نسخه. په ګوګل کې هیله، چې دا به په شبکه کې د شخصي معلوماتو امنیت ډیر کړي او د MITM بریدونو پروړاندې محافظت وکړي.

بل براوزر جوړونکی - موزیلا - ملاتړ کوي د تیر دوبي راهیسې د HTTPS په اړه DNS. په ورته وخت کې، شرکت په فعاله توګه د معلوماتي ټکنالوجۍ په چاپیریال کې نوې ټیکنالوژۍ ته وده ورکوي. د دې لپاره، د انټرنیټ خدماتو چمتو کونکو ټولنه (ISPA) حتی نومول شوی موزیلا د کال د انټرنیټ ولین جایزه ترلاسه کړه. په ځواب کې، د شرکت استازو یاد شوی، څوک چې د مخابراتو آپریټرانو د زړو انټرنېټ زیربنا ښه کولو لپاره د لیوالتیا له امله مایوسه شوي دي.

/نه خلاصول/ TETrebbien

د موزیلا په ملاتړ کې لویو رسنیو خبرې وکړې او ځینې انټرنیټ چمتو کونکي. په ځانګړې توګه، په برتانوي ټیلیکام کې پام وکړئدا چې نوی پروتوکول به د مینځپانګې فلټر کولو اغیزه ونکړي او د انګلستان کاروونکو امنیت به ښه کړي. د عامه فشار لاندې ISPA باید یاد کړل شي د "ولن" نومول.

د کلاوډ چمتو کونکو هم د HTTPS په اړه د DNS معرفي کولو ملاتړ وکړ، د بیلګې په توګه Cloudflare. دوی دمخه د نوي پروتوکول پراساس د DNS خدمات وړاندیز کوي. د براوزرونو او پیرودونکو بشپړ لیست چې د DoH ملاتړ کوي دلته شتون لري GitHub.

په هرصورت، دا لا تر اوسه ممکنه نه ده چې د دوو کمپونو ترمنځ د جګړې د پای په اړه خبرې وشي. د معلوماتي ټکنالوجۍ متخصصین وړاندوینه کوي چې که چیرې د HTTPS په اړه DNS د اصلي انټرنیټ ټیکنالوژۍ سټیک برخه شي، نو دا به واخلي. له یوې لسیزې څخه زیات.

زموږ په کارپوریټ بلاګ کې موږ نور څه لیکو:

• د انټرنیټ چمتو کونکي شبکه څنګه جوړه شوې
• د انټرنیټ چمتو کونکو شبکو کې بنسټیز خدمتونه
• همغږي او یووالي - په یوه وسیله ډیری دندې

سرچینه: www.habr.com