Suka sareng Henteu: DNS ngalangkungan HTTPS

Kami nganalisis pendapat ngeunaan fitur DNS dina HTTPS, anu nembe janten "tulang pertengkaran" diantara panyadia Internét sareng pamekar browser.

/Unsplash/ Steve Halama

Intina teu satuju

anyar, média utama и platform tematik (kaasup Habr) mindeng nulis ngeunaan DNS ngaliwatan protokol HTTPS (DoH). Éta énkripsi pamundut sareng réspon DNS. Pendekatan ieu ngamungkinkeun anjeun pikeun nyumputkeun hostname anu diaksés ku pangguna. Tina publikasi, urang tiasa nyimpulkeun yén protokol énggal (dina IETF disatujuan eta dina 2018) ngabagi komunitas IT kana dua kubu.

Satengah yakin yén protokol anyar bakal ningkatkeun kaamanan Internet, sarta nerapkeun eta dina aplikasi tur jasa maranéhanana. Satengah séjén yakin yén téhnologi ngan complicates karya administrator sistem. Hayu urang tingali argumen dina dua sisi.

Kumaha DoH Gawé

Sateuacan ngaléngkah pikeun ngabahas naha ISP sareng pamilon pasar sanés pikeun atanapi ngalawan DNS tina HTTPS, hayu urang tingali gancang kumaha jalanna.

Dina kasus DoH, pamundut pikeun nangtukeun alamat IP dibungkus dina lalu lintas HTTPS. Lajeng mana kana server HTTP, dimana eta diolah ngagunakeun API. Ieu conto pamundut ti RFC 8484 (halaman 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Jadi lalulintas DNS disumputkeun dina lalulintas HTTPS. The klien tur server komunikasi dina port baku 443. Hasilna, requests ka sistem ngaran domain tetep anonim.

Naha anjeunna teu disambut

Lawan DNS leuwih HTTPS nyariosyén protokol anyar bakal ngurangan kaamanan sambungan. Ku nurutkeun Paul Vixie, anggota tim pamekaran DNS, bakal ngajadikeun eta harder pikeun sysadmins pikeun meungpeuk situs berpotensi jahat. Pamaké biasa bakal leungit kamampuhan pikeun nyetél kadali parental kondisional dina browser.

Pamadegan Paul dibagikeun ku ISP Inggris. panerapan nagara ngawajibkeun aranjeunna pikeun meungpeuk sumberdaya kalawan eusi dilarang. Tapi rojongan DoH dina browser complicates tugas nyaring lalulintas. Kritikus protokol anyar ogé kalebet Pusat Komunikasi Pamaréntah Inggris (GCHQ) jeung Internet Watch Foundation (IMF), anu ngajaga pendaptaran sumberdaya anu diblokir.

Dina blog urang dina Habré:

• Perang robocall AS - saha anu meunang sareng kunaon
• Telekomunikasi Inggris bakal mayar kompensasi palanggan pikeun sambunganana

Para ahli nyatet yén DNS liwat HTTPS tiasa janten ancaman pikeun cybersecurity. Dina awal Juli, spesialis kaamanan informasi ti Netlab kapendak virus munggaran anu ngagunakeun protokol anyar pikeun ngalakukeun serangan DDoS - Godlua. Malware nu diaksés DoH pikeun ménta rékaman téks (.txt) jeung nimba URL server paréntah jeung kontrol.

Paménta DoH anu énkripsi henteu dikenal ku parangkat lunak antipirus. spesialis kaamanan informasi sieunyén sanggeus Godlua malware séjén bakal datang, halimunan ngawas DNS pasip.

Tapi teu sadaya jelema ngalawan

Dina mertahankeun DNS leuwih HTTPS on blog abdi spoke kaluar Insinyur APNIC Geoff Houston. Nurutkeun manéhna, protokol anyar bakal mantuan ngalawan serangan pangbajak DNS, nu geus jadi beuki loba umum lately. kanyataan ieu mastikeun laporan Januari pausahaan kaamanan informasi FireEye. Ngembangkeun protokol ieu ogé dirojong ku pausahaan IT badag.

Dina awal taun ka tukang, DoH mimiti diuji di Google. Jeung sabulan katukang pausahaan ditepikeun Vérsi Kasadiaan Umum tina jasa DoH maranéhna. Google harepanyén éta bakal ningkatkeun kaamanan data pribadi dina jaringan sareng ngajagi tina serangan MITM.

pamekar browser sejen - Mozilla - ngadukung DNS leuwih HTTPS saprak usum panas panungtungan. Dina waktos anu sami, perusahaan aktip promosi téknologi anyar dina lingkungan IT. Pikeun ieu, Asosiasi Panyadia Layanan Internét (ISPA) malah dicalonkeun Mozilla pikeun Internet Villain of the Year. Dina respon, wawakil pausahaan nyatetnu kuciwa ku unwillingness of operator telekomunikasi pikeun ngaronjatkeun infrastruktur Internet luntur.

/Unsplash/ TETrebbien

Pikeun ngarojong Mozilla média utama spoke jeung sababaraha panyadia internét. Khususna, dina British Telecom mertimbangkeunyén protokol anyar moal mangaruhan nyaring eusi sareng ningkatkeun kasalametan pangguna Inggris. Dina tekanan umum ISPA kapaksa mundur nominasi "jahat".

Panyadia awan ogé nyokong palaksanaan DNS ngaliwatan HTTPS, contona Cloudflare. Aranjeunna parantos nawiskeun jasa DNS dumasar kana protokol énggal. Pikeun daptar lengkep ngeunaan panyungsi sareng klien anu diaktipkeun DoH, tingali GitHub.

Bisi wae, teu acan kedah ngobrol ngeunaan tungtung konfrontasi antara dua kubu. Pro IT ngaduga yén lamun DNS leuwih HTTPS bakal jadi bagian tina tumpukan téhnologi Internet masif, éta bakal butuh teu sapuluh taun.

Naon deui anu urang tulis dina blog perusahaan urang:

• Kumaha jaringan ISP diwangun
• Ladenan dasar dina jaringan ISP
• Konvergénsi sareng ngahijikeun - sababaraha tugas dina hiji alat

sumber: www.habr.com