Sinusuri namin ang mga opinyon tungkol sa mga feature ng DNS sa HTTPS, na kamakailan ay naging "buto ng pagtatalo" sa mga provider ng Internet at mga developer ng browser.
/Unsplash/
Ang kakanyahan ng hindi pagkakasundo
Kani-kanina lamang и (kabilang ang Habr), madalas silang sumulat tungkol sa DNS over HTTPS (DoH) protocol. Ini-encrypt nito ang mga kahilingan sa DNS server at mga tugon sa kanila. Binibigyang-daan ka ng diskarteng ito na itago ang mga pangalan ng mga host na ina-access ng user. Mula sa mga publikasyon maaari nating tapusin na ang bagong protocol (sa IETF noong 2018) hinati ang komunidad ng IT sa dalawang kampo.
Kalahati ang naniniwala na ang bagong protocol ay magpapahusay sa seguridad ng Internet at ipinapatupad ito sa kanilang mga aplikasyon at serbisyo. Ang kalahati ay kumbinsido na ang teknolohiya ay nagpapahirap lamang sa trabaho ng mga tagapangasiwa ng system. Susunod, susuriin natin ang mga argumento ng magkabilang panig.
Paano gumagana ang DoH
Bago natin alamin kung bakit ang mga ISP at iba pang kalahok sa merkado ay para o laban sa DNS sa HTTPS, tingnan natin sandali kung paano ito gumagana.
Sa kaso ng DoH, ang kahilingan upang matukoy ang IP address ay nakapaloob sa trapiko ng HTTPS. Pagkatapos ay pupunta ito sa HTTP server, kung saan ito pinoproseso gamit ang API. Narito ang isang halimbawang kahilingan mula sa RFC 8484 ():
:method = GET
:scheme = https
:authority = dnsserver.example.net
:path = /dns-query?
dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
accept = application/dns-message
Kaya, nakatago ang trapiko ng DNS sa trapiko ng HTTPS. Ang kliyente at server ay nakikipag-usap sa karaniwang port 443. Bilang resulta, ang mga kahilingan sa sistema ng domain name ay nananatiling hindi nagpapakilala.
Bakit hindi siya pinapaboran?
Mga kalaban ng DNS sa HTTPS na babawasan ng bagong protocol ang seguridad ng mga koneksyon. Sa pamamagitan ng Si Paul Vixie, isang miyembro ng DNS development team, ay magpapahirap sa mga system administrator na harangan ang mga potensyal na nakakahamak na site. Mawawalan ng kakayahan ang mga ordinaryong user na mag-set up ng mga kondisyong kontrol ng magulang sa mga browser.
Ang mga pananaw ni Paul ay ibinahagi ng mga tagabigay ng internet sa UK. Batas sa bansa harangan sila mula sa mga mapagkukunang may ipinagbabawal na nilalaman. Ngunit ang suporta para sa DoH sa mga browser ay nagpapalubha sa gawain ng pagsala ng trapiko. Kasama rin sa mga kritiko ng bagong protocol ang Government Communications Center sa England () at ang Internet Watch Foundation (), na nagpapanatili ng isang rehistro ng mga naka-block na mapagkukunan.
Sa aming blog sa Habré:
Napansin ng mga eksperto na ang DNS sa HTTPS ay maaaring maging banta sa cybersecurity. Sa simula ng Hulyo, ang mga espesyalista sa seguridad ng impormasyon mula sa Netlab ang unang virus na gumamit ng bagong protocol upang magsagawa ng mga pag-atake ng DDoS - . In-access ng malware ang DoH para kumuha ng mga text record (TXT) at kunin ang command at kontrolin ang mga URL ng server.
Ang mga naka-encrypt na kahilingan sa DoH ay hindi nakilala ng antivirus software. Mga espesyalista sa seguridad ng impormasyon na pagkatapos ng Godlua ay darating ang ibang malware, na hindi nakikita ng passive DNS monitoring.
Ngunit hindi lahat ay laban dito
Bilang pagtatanggol sa DNS sa HTTPS sa kanyang blog APNIC engineer na si Geoff Houston. Ayon sa kanya, gagawing posible ng bagong protocol na labanan ang mga pag-atake ng pag-hijack ng DNS, na kamakailan ay naging mas karaniwan. Itong katotohanan Ang ulat noong Enero mula sa kumpanya ng cybersecurity na FireEye. Sinuportahan din ng malalaking kumpanya ng IT ang pagbuo ng protocol.
Sa simula ng nakaraang taon, nagsimulang masuri ang DoH sa Google. At isang buwan na ang nakalipas ang kumpanya Pangkalahatang Availability na bersyon ng serbisyo ng DoH nito. Sa Google , na patataasin nito ang seguridad ng personal na data sa network at mapoprotektahan laban sa mga pag-atake ng MITM.
Isa pang developer ng browser - Mozilla - DNS sa HTTPS mula noong nakaraang tag-init. Kasabay nito, ang kumpanya ay aktibong nagpo-promote ng bagong teknolohiya sa kapaligiran ng IT. Para dito, ang Internet Services Providers Association (ISPA) Mozilla para sa Internet Villain of the Year Award. Bilang tugon, ang mga kinatawan ng kumpanya , na nadidismaya sa pag-aatubili ng mga operator ng telecom na pahusayin ang kanilang lumang imprastraktura sa Internet.
/Unsplash/
Bilang suporta sa Mozilla at ilang Internet provider. Sa partikular, sa British Telecom na ang bagong protocol ay hindi makakaapekto sa pag-filter ng nilalaman at mapapabuti ang seguridad ng mga gumagamit ng UK. Sa ilalim ng pampublikong presyon ISPA "kontrabida" nominasyon.
Itinaguyod din ng mga cloud provider ang pagpapakilala ng DNS sa HTTPS, halimbawa . Nag-aalok na sila ng mga serbisyo ng DNS batay sa bagong protocol. Available ang kumpletong listahan ng mga browser at kliyente na sumusuporta sa DoH sa .
Sa anumang kaso, hindi pa maaaring pag-usapan ang tungkol sa pagtatapos ng paghaharap sa pagitan ng dalawang kampo. Ang mga eksperto sa IT ay hinuhulaan na kung ang DNS sa HTTPS ay nakatakdang maging bahagi ng pangunahing salansan ng teknolohiya sa Internet, aabutin .
Ano pa ang isinusulat namin sa aming corporate blog:
Pinagmulan: www.habr.com