ชอบและไม่ชอบ: DNS ผ่าน HTTPS

เราวิเคราะห์ความคิดเห็นเกี่ยวกับคุณลักษณะของ DNS บน HTTPS ซึ่งเพิ่งกลายเป็น "กระดูกแห่งความขัดแย้ง" ในหมู่ผู้ให้บริการอินเทอร์เน็ตและนักพัฒนาเบราว์เซอร์

/Unsplash/ สตีฟ ฮาลามา

สาระสำคัญของความขัดแย้ง

เมื่อเร็ว ๆ นี้ สื่อหลัก и แพลตฟอร์มเฉพาะเรื่อง (รวมถึง Habr) พวกเขามักเขียนเกี่ยวกับโปรโตคอล DNS ผ่าน HTTPS (DoH) มันเข้ารหัสคำขอไปยังเซิร์ฟเวอร์ DNS และการตอบกลับ วิธีนี้ช่วยให้คุณสามารถซ่อนชื่อของโฮสต์ที่ผู้ใช้เข้าถึงได้ จากการตีพิมพ์เราสามารถสรุปได้ว่าโปรโตคอลใหม่ (ใน IETF อนุมัติแล้ว ในปี 2018) ได้แบ่งชุมชนไอทีออกเป็น XNUMX ค่าย

ครึ่งหนึ่งเชื่อว่าโปรโตคอลใหม่จะปรับปรุงความปลอดภัยของอินเทอร์เน็ต และกำลังนำไปใช้กับแอปพลิเคชันและบริการของตน อีกครึ่งหนึ่งเชื่อมั่นว่าเทคโนโลยีมีแต่จะทำให้งานของผู้ดูแลระบบยากขึ้นเท่านั้น ต่อไปเราจะวิเคราะห์ข้อโต้แย้งของทั้งสองฝ่าย

DoH ทำงานอย่างไร

ก่อนที่เราจะอธิบายว่าทำไม ISP และผู้เข้าร่วมตลาดรายอื่นจึงสนับสนุนหรือต่อต้าน DNS ผ่าน HTTPS เรามาดูรายละเอียดวิธีการทำงานกันก่อน

ในกรณีของ DoH คำขอตรวจสอบที่อยู่ IP จะถูกรวมไว้ในการรับส่งข้อมูล HTTPS จากนั้นไปที่เซิร์ฟเวอร์ HTTP ซึ่งประมวลผลโดยใช้ API นี่คือตัวอย่างคำขอจาก RFC 8484 (หน้า 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

ดังนั้นการรับส่งข้อมูล DNS จึงถูกซ่อนอยู่ในการรับส่งข้อมูล HTTPS ไคลเอ็นต์และเซิร์ฟเวอร์สื่อสารผ่านพอร์ตมาตรฐาน 443 ด้วยเหตุนี้ คำขอไปยังระบบชื่อโดเมนจึงยังคงไม่เปิดเผยชื่อ

ทำไมเขาถึงไม่ได้รับความโปรดปราน?

ฝ่ายตรงข้ามของ DNS ผ่าน HTTPS พวกเขากล่าวว่าว่าโปรโตคอลใหม่จะลดความปลอดภัยของการเชื่อมต่อ โดย ตาม Paul Vixie สมาชิกของทีมพัฒนา DNS จะทำให้ผู้ดูแลระบบบล็อกไซต์ที่อาจเป็นอันตรายได้ยากขึ้น ผู้ใช้ทั่วไปจะสูญเสียความสามารถในการตั้งค่าการควบคุมโดยผู้ปกครองแบบมีเงื่อนไขในเบราว์เซอร์

มุมมองของ Paul ได้รับการแบ่งปันโดยผู้ให้บริการอินเทอร์เน็ตในสหราชอาณาจักร กฎหมายของประเทศ มีหน้าที่ บล็อกพวกเขาจากแหล่งข้อมูลที่มีเนื้อหาต้องห้าม แต่การสนับสนุน DoH ในเบราว์เซอร์ทำให้งานกรองการรับส่งข้อมูลมีความซับซ้อน ผู้วิพากษ์วิจารณ์โปรโตคอลใหม่ยังรวมถึงศูนย์สื่อสารของรัฐบาลในอังกฤษ (GCHQ) และมูลนิธิ Internet Watch (ดับเบิลยู) ซึ่งรักษาการลงทะเบียนของทรัพยากรที่ถูกบล็อก

ในบล็อกของเราที่Habré:

• สงครามกับ robocalls ในสหรัฐอเมริกา - ใครเป็นผู้ชนะและเพราะเหตุใด
• โทรคมนาคมของอังกฤษจะจ่ายค่าชดเชยให้กับสมาชิกสำหรับการหยุดชะงักของบริการ

ผู้เชี่ยวชาญทราบว่า DNS บน HTTPS อาจกลายเป็นภัยคุกคามความปลอดภัยทางไซเบอร์ได้ เมื่อต้นเดือนกรกฎาคม ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลจาก Netlab ค้นพบ ไวรัสตัวแรกที่ใช้โปรโตคอลใหม่เพื่อทำการโจมตี DDoS - ก็อดลัว. มัลแวร์เข้าถึง DoH เพื่อรับบันทึกข้อความ (TXT) และแยก URL ของเซิร์ฟเวอร์คำสั่งและควบคุม

ซอฟต์แวร์ป้องกันไวรัสไม่รู้จักคำขอ DoH ที่เข้ารหัส ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล กลัวว่าหลังจาก Godlua มัลแวร์อื่น ๆ จะมา ซึ่งมองไม่เห็นจากการตรวจสอบ DNS แบบพาสซีฟ

แต่ไม่ใช่ทุกคนที่ต่อต้านมัน

เพื่อป้องกัน DNS ผ่าน HTTPS บนบล็อกของเขา พูดออกมา เจฟฟ์ ฮูสตัน วิศวกรของ APNIC ตามที่เขาพูด โปรโตคอลใหม่จะทำให้สามารถต่อสู้กับการโจมตีการแย่งชิง DNS ซึ่งเพิ่งกลายเป็นเรื่องปกติมากขึ้น ข้อเท็จจริงนี้ ยืนยัน รายงานประจำเดือนมกราคมจากบริษัทรักษาความปลอดภัยทางไซเบอร์ FireEye บริษัทไอทีขนาดใหญ่ก็สนับสนุนการพัฒนาโปรโตคอลเช่นกัน

เมื่อต้นปีที่แล้ว DoH เริ่มทำการทดสอบที่ Google และเมื่อเดือนที่แล้วบริษัท นำเสนอ เวอร์ชันความพร้อมใช้งานทั่วไปของบริการ DoH บน Google หวังว่าจะช่วยเพิ่มความปลอดภัยของข้อมูลส่วนบุคคลบนเครือข่ายและป้องกันการโจมตี MITM

นักพัฒนาเบราว์เซอร์รายอื่น - Mozilla - รองรับ DNS ผ่าน HTTPS ตั้งแต่ฤดูร้อนที่แล้ว ในเวลาเดียวกัน บริษัทกำลังส่งเสริมเทคโนโลยีใหม่ๆ ในสภาพแวดล้อมด้านไอทีอย่างแข็งขัน ด้วยเหตุนี้ สมาคมผู้ให้บริการอินเทอร์เน็ต (ISPA) ได้รับการเสนอชื่อเข้าชิงด้วยซ้ำ Mozilla สำหรับรางวัล Internet Villain of the Year เพื่อเป็นการตอบสนองตัวแทนบริษัท ข้อสังเกตซึ่งรู้สึกหงุดหงิดจากการที่ผู้ให้บริการโทรคมนาคมไม่เต็มใจที่จะปรับปรุงโครงสร้างพื้นฐานอินเทอร์เน็ตที่ล้าสมัย

/Unsplash/ เทเทรบบิน

ในการสนับสนุนของมอซซิลา สื่อใหญ่ก็พูดออกมา และผู้ให้บริการอินเทอร์เน็ตบางราย โดยเฉพาะที่บริติชเทเลคอม พิจารณาว่าโปรโตคอลใหม่จะไม่ส่งผลกระทบต่อการกรองเนื้อหาและจะปรับปรุงความปลอดภัยของผู้ใช้ในสหราชอาณาจักร ภายใต้แรงกดดันสาธารณะ ISPA จะต้องถูกเรียกคืน การเสนอชื่อ "คนร้าย"

ผู้ให้บริการระบบคลาวด์ยังสนับสนุนการใช้ DNS ผ่าน HTTPS เป็นต้น Cloudflare. พวกเขาเสนอบริการ DNS ตามโปรโตคอลใหม่แล้ว รายชื่อเบราว์เซอร์และไคลเอนต์ทั้งหมดที่รองรับ DoH มีอยู่ที่ GitHub.

ยังไงก็ตามยังไม่สามารถพูดถึงจุดจบของการเผชิญหน้าระหว่างสองค่ายได้ ผู้เชี่ยวชาญด้านไอทีคาดการณ์ว่าหาก DNS บน HTTPS ถูกกำหนดให้เป็นส่วนหนึ่งของกลุ่มเทคโนโลยีอินเทอร์เน็ตกระแสหลัก ก็จะต้องใช้เวลานาน มากกว่าหนึ่งทศวรรษ.

เราเขียนเกี่ยวกับอะไรอีกในบล็อกองค์กรของเรา:

• เครือข่ายผู้ให้บริการอินเทอร์เน็ตถูกสร้างขึ้นอย่างไร
• บริการพื้นฐานในเครือข่ายผู้ให้บริการอินเทอร์เน็ต
• การบรรจบกันและการรวมเป็นหนึ่ง - งานหลายอย่างบนอุปกรณ์เครื่องเดียว

ที่มา: will.com