我们分析了有关 DNS over HTTPS 功能的观点,这些观点最近已成为互联网提供商和浏览器开发商之间的“争论焦点”。
/不飞溅/
分歧的本质
最近 и (包括 Habr)经常撰写有关基于 HTTPS (DoH) 协议的 DNS 的文章。 它对 DNS 请求和响应进行加密。 这种方法允许您隐藏用户访问的主机名。 从出版物中,我们可以得出结论,新协议(在 IETF 2018 年)将 IT 社区分为两个阵营。
一半人相信新协议将提高互联网的安全性,并将其实施到他们的应用程序和服务中。 另一半则相信技术只会使系统管理员的工作变得更加复杂。 我们来看看双方的论点。
卫生部如何运作
在继续讨论为什么 ISP 和其他市场参与者支持或反对基于 HTTPS 的 DNS 之前,让我们快速了解一下它的工作原理。
对于 DoH,确定 IP 地址的请求封装在 HTTPS 流量中。 然后它进入 HTTP 服务器,并使用 API 进行处理。 以下是来自 RFC 8484 的示例请求():
:method = GET
:scheme = https
:authority = dnsserver.example.net
:path = /dns-query?
dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
accept = application/dns-message
因此 DNS 流量隐藏在 HTTPS 流量中。 客户端和服务器在标准端口 443 上进行通信。因此,对域名系统的请求保持匿名。
为什么他不受欢迎
DNS over HTTPS 的反对者 新协议将降低连接的安全性。 经过 DNS 开发团队成员 Paul Vixie 将使系统管理员更难阻止潜在的恶意站点。 普通用户将失去在浏览器中设置条件家长控制的能力。
英国互联网服务提供商也认同 Paul 的观点。 国家立法 他们阻止含有禁止内容的资源。 但浏览器中的 DoH 支持使过滤流量的任务变得复杂。 新协议的批评者还包括英格兰政府通信中心()和互联网观察基金会(),它维护被阻止资源的注册表。
在我们关于哈布雷的博客中:
专家指出,基于 HTTPS 的 DNS 可能会对网络安全构成威胁。 XNUMX月初,来自Netlab的信息安全专家 第一个使用新协议进行 DDoS 攻击的病毒 - 。 该恶意软件访问 DoH 以获取文本记录 (.txt) 并提取命令和控制服务器的 URL。
防病毒软件无法识别加密的 DoH 请求。 信息安全专家 在 Godlua 之后,其他恶意软件将会出现,而被动 DNS 监控是看不到的。
但并不是所有人都反对
在我的博客上捍卫 DNS over HTTPS APNIC 工程师杰夫·休斯顿。 据他介绍,新协议将有助于对抗最近变得越来越普遍的 DNS 劫持攻击。 这个事实 信息安全公司 FireEye XNUMX 月份报告。 该协议的开发也得到了大型IT公司的支持。
去年年初,DoH开始在谷歌进行测试。 而一个月前的公司 DoH 服务的通用版本。 谷歌 它将提高网络上个人数据的安全性并防止 MITM 攻击。
另一家浏览器开发商——Mozilla—— 自去年夏天起,DNS 就通过 HTTPS 进行传输。 同时,公司正在IT环境中积极推广新技术。 为此,互联网服务提供商协会 (ISPA) Mozilla 荣获年度互联网恶棍称号。 对此,公司代表回应 他们对电信运营商不愿改善过时的互联网基础设施感到失望。
/不飞溅/
支持 Mozilla 和一些互联网提供商。 特别是在英国电信 新协议不会影响内容过滤并提高英国用户的安全。 迫于舆论压力 ISPA “恶棍”提名。
例如,云提供商还提倡通过 HTTPS 实施 DNS 。 他们已经提供基于新协议的 DNS 服务。 有关支持 DoH 的浏览器和客户端的完整列表,请参阅 .
无论如何,目前还没有必要谈论两大阵营对抗的结束。 IT 专业人士预测,如果 DNS over HTTPS 成为庞大互联网技术堆栈的一部分,需要 .
我们在公司博客中还写了哪些内容:
来源: habr.com