"Ama y no le gusta": DNS sobre HTTPS

Analizamos opiniones sobre las características de DNS sobre HTTPS, que recientemente se han convertido en un "hueso de la discordia" entre los proveedores de Internet y los desarrolladores de navegadores.


/ Unsplash / Steve Halama

La esencia del desacuerdo

Recientemente, grandes medios y plataformas temáticas (incluido Habr), a menudo escriben sobre el protocolo DNS sobre HTTPS (DoH). Cifra las consultas al servidor DNS y las respuestas a ellas. Este enfoque le permite ocultar los nombres de host a los que accede el usuario. De las publicaciones, podemos concluir que el nuevo protocolo (IETF lo aprobó en 2018) dividió a la comunidad de TI en dos campos.

La mitad cree que el nuevo protocolo aumentará la seguridad de Internet y lo implementará en sus aplicaciones y servicios. La otra mitad está convencida de que la tecnología solo complica el trabajo de los administradores de sistemas. A continuación, analizamos los argumentos de ambos lados.

Cómo funciona DoH

Antes de pasar a hablar sobre por qué los proveedores de servicios de Internet y otros participantes del mercado están a favor o en contra del DNS sobre HTTPS, discutiremos brevemente los principios de su funcionamiento.

En el caso de DoH, una solicitud de dirección IP se encapsula en el tráfico HTTPS. Luego va al servidor HTTP, donde se procesa utilizando la API. Aquí hay una solicitud de ejemplo de RFC 8484 ( p. 6 ):

:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query? dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ accept = application/dns-message 

Por lo tanto, el tráfico DNS está oculto en el tráfico HTTPS. El cliente y el servidor se comunican en el puerto estándar 443. Como resultado, las solicitudes al sistema de nombres de dominio permanecen anónimas.

¿Por qué no lo favorecen?

Los opositores de DNS sobre HTTPS dicen que el nuevo protocolo reducirá la seguridad de la conexión. Según Paul Vixie, miembro del equipo de desarrollo de DNS, será más difícil para los administradores de sistemas bloquear sitios potencialmente maliciosos. Al mismo tiempo, los usuarios comunes perderán la capacidad de configurar el control parental condicional en los navegadores.

La opinión de Paul es compartida por los proveedores de servicios de Internet del Reino Unido. La ley del país les exige bloquear recursos con contenido prohibido. Pero el soporte DoH en los navegadores complica la tarea de filtrar el tráfico. Los críticos del nuevo protocolo también incluyen el Centro de Comunicaciones del Gobierno de Inglaterra ( GCHQ ) y la Fundación Internet Watch ( IWF ), que mantiene un registro de recursos bloqueados.

^{En nuestro blog sobre Habré:}

• La guerra de llamadas automáticas de los Estados Unidos: quién gana y por qué
• Las telecomunicaciones británicas pagarán una compensación a los suscriptores por desconexiones

Los expertos dicen que DNS sobre HTTPS puede convertirse en una amenaza de seguridad cibernética. A principios de julio, los expertos en seguridad de Netlab descubrieron el primer virus que utilizaba un nuevo protocolo para ataques DDoS: Godlua . El malware recurrió a DoH para recuperar registros de texto (TXT) y recuperar las URL de los servidores de administración.

Las solicitudes cifradas de DoH no fueron reconocidas por el software antivirus. Los expertos en seguridad de la información temen que después de Godlua vendrán otros programas maliciosos que son invisibles para el monitoreo pasivo de DNS.

Pero no todo está en contra

En defensa del DNS sobre HTTPS, el ingeniero de APNIC Geoff Houston habló en su blog. Según él, el nuevo protocolo permitirá lidiar con los ataques de secuestro de DNS, que recientemente se han vuelto cada vez más comunes. Este hecho confirma el informe de enero de la compañía de seguridad de la información FireEye. El desarrollo del protocolo fue apoyado por grandes empresas de TI.

A principios del año pasado, DoH comenzó a probarse en Google. Y hace un mes, la compañía presentó la versión de disponibilidad general de su servicio DoH. Google espera que aumente la seguridad de los datos personales en la red y proteja contra los ataques MITM.

Otro desarrollador de navegadores, Mozilla, ha estado soportando DNS sobre HTTPS desde el verano pasado. Al mismo tiempo, la compañía está promoviendo activamente nuevas tecnologías en el entorno de TI. Para ello, la Asociación de Proveedores de Servicios de Internet (ISPA) incluso nominó a Mozilla para el premio "Villano de Internet del Año". En respuesta, los representantes de la compañía dijeron que estaban decepcionados con la renuencia de los operadores de telecomunicaciones a mejorar la infraestructura obsoleta de Internet.


/ Unsplash / TETrebbien

Grandes medios de comunicación y algunos proveedores de servicios de Internet han hablado en apoyo de Mozilla. En particular, British Telecom cree que el nuevo protocolo no afectará el filtrado de contenido y aumentará la seguridad de los usuarios británicos. Bajo presión pública, el ISPA tuvo que retirar la nominación de "villano".

Además, la adopción de DNS sobre HTTPS fue respaldada por proveedores de la nube, como Cloudflare . Ya ofrecen servicios de DNS basados ​​en el nuevo protocolo. Una lista completa de navegadores y clientes con soporte DoH está disponible en GitHub .

En cualquier caso, no hay necesidad de hablar sobre el final de la confrontación entre los dos campos todavía. Los expertos en TI predicen que si el DNS sobre HTTPS está destinado a formar parte de la enorme pila de tecnologías de Internet, tomará más de una década .

^{¿Qué más estamos escribiendo en nuestro blog corporativo:}

• ¿Cómo se construye la red de proveedores de servicios de Internet?
• Los principales servicios en las redes del proveedor de Internet.
• Convergencia y unificación: múltiples tareas en un solo dispositivo