تم إصدار "DNS عبر HTTPS" في RFC 8484 - ولكن ليس الجميع راضيًا عنه

في أواخر أكتوبر ، قدم مجلس هندسة الإنترنت (IETF) معيار DNS عبر HTTPS (DoH) لتشفير حركة مرور DNS ، وتهيئته في شكل RFC 8484. تمت الموافقة عليه من قبل العديد من الشركات الكبيرة ، ولكن كان هناك أيضًا أولئك الذين كانوا غير راضين عن قرار IETF. ومن بين هؤلاء كان أحد مبدعي نظام DNS ، Paul Vixie (Paul Vixie). اليوم سنخبرك ما هي النقطة.


/ photo Martinelle PD

مشكلة DNS


لا يقوم بروتوكول DNS بتشفير الطلبات من المستخدم إلى الخادم والاستجابات لها. يتم بث البيانات كنص. وبالتالي ، تحتوي الطلبات على أسماء المضيف التي يزورها المستخدم. وهذا يعطي الفرصة "للتنصت" على قناة الاتصال واعتراض البيانات الشخصية غير المحمية.

ما هو جوهر DNS عبر HTTPS


لتصحيح الموقف ، تم اقتراح المعيار عبر DNS عبر HTTPS ، أو "DNS عبر HTTPS". بدأت IETF العمل عليها في مايو 2017. شارك في تأليفه بول هوفمان من ICANN ، وهو اسم مجال وشركة إدارة عنوان IP وباتريك مكمانوس من موزيلا.

تكمن خصوصية DoH في أن طلبات تحديد عنوان IP لا يتم إرسالها إلى خادم DNS ، ولكن يتم تغليفها في حركة مرور HTTPS وإرسالها إلى خادم HTTP ، حيث يقوم محلل خاص بمعالجتها باستخدام واجهة برمجة التطبيقات. يتم إخفاء حركة مرور DNS كحركة مرور HTTPS عادية ، ويحدث اتصال العميل والخادم من خلال منفذ HTTPS القياسي 443. تظل محتويات الطلبات وحقيقة استخدام DoH مخفية.

في RFC 8484 ، يقدم المجلس الهندسي أمثلة على استعلامات DNS إلى example.com مع DoH. هنا هو الطلب باستخدام طريقة GET:

:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query?dns=AAABAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB accept = application/dns-message 

طلب مماثل باستخدام POST:

 :method = POST :scheme = https :authority = dnsserver.example.net :path = /dns-query accept = application/dns-message content-type = application/dns-message content-length = 33 <33 bytes represented by the following hex encoding> 00 00 01 00 00 01 00 00 00 00 00 00 03 77 77 77 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00 01 

تقدم العديد من ممثلي صناعة تكنولوجيا المعلومات في دعم معيار IETF. على سبيل المثال ، جيف هيوستن ، باحث رئيسي في APNIC Internet Registrar.

تم دعم تطوير البروتوكول من قبل شركات الإنترنت الكبيرة. منذ بداية العام (عندما كان البروتوكول لا يزال في مرحلة المسودة) ، تم اختبار DoH بواسطة Google / Alphabet و Mozilla. أصدر أحد أقسام Alphabet تطبيق Intra لتشفير حركة مرور DNS للمستخدمين. يدعم متصفح Mozilla Firefox نظام أسماء النطاقات عبر HTTPS منذ يونيو من هذا العام.

قامت DoH أيضًا بتنفيذ خدمات DNS - Cloudflare و Quad9 . أصدر Cloudflare مؤخرًا تطبيقًا ( كان هذا مقالًا عن Habré ) للعمل مع البروتوكول الجديد على Android و iOS. يعمل بمثابة VPN لجهازه الخاص (إلى العنوان 127.0.0.1). تبدأ إرسال استعلامات DNS إلى Cloudflare باستخدام DoH ، وتسير حركة المرور على طول المسار "العادي".

يمكن العثور على قائمة بالمتصفحات والعملاء مع دعم DoH على GitHub .

نقد معيار DoH


لم يستجب جميع المشاركين في الصناعة بشكل إيجابي لقرار IETF. يعتقد معارضو المعيار أن DoH خطوة في الاتجاه الخاطئ وأنها ستقلل فقط من مستوى أمان الاتصال. تحدث بول Vixie ، أحد مطوري DNS ، بشكل أكثر حدة عن البروتوكول الجديد. في حسابه على تويتر ، وصف DoH بأنه "هراء مطلق من حيث أمن المعلومات".

في رأيه ، فإن التكنولوجيا الجديدة لن تتحكم بشكل فعال في تشغيل الشبكات. على سبيل المثال ، لن يتمكن مسؤولو النظام من حظر المواقع التي يحتمل أن تكون ضارة ، وسيتم حرمان المستخدمين العاديين من إمكانية الرقابة الأبوية في المتصفحات.


/ photo TheAndrasBarta PD

يقترح معارضو DoH استخدام نهج مختلف - DNS عبر TLS أو DoT . يتم قبول هذه التقنية كمعيار IETF ويتم وصفها في RFC 7858 و RFC 8310 . مثل DoH ، يخفي بروتوكول DoT محتويات الطلبات ، لكنه لا يرسلها عبر HTTPS ، ولكنه يستخدم TLS. للاتصال بخادم DNS ، يتم استخدام منفذ منفصل - 853. ولهذا السبب ، لا يتم إخفاء استعلام DNS ، كما هو الحال مع DoH.

كما يتم انتقاد تقنية دائرة النقل. على وجه الخصوص ، يلاحظ الخبراء: نظرًا لحقيقة أن البروتوكول يعمل مع منفذ مخصص ، فإن الطرف الثالث سيكون قادرًا على مراقبة استخدام قناة آمنة ، وإذا لزم الأمر ، حظره.

ما ينتظر البروتوكولات بعد ذلك


وفقًا للخبراء ، ليس من الواضح حتى الآن أي طرق حماية استعلامات DNS ستصبح أكثر شيوعًا.

يدعم Cloudflare و Quad9 و Alphabet الآن كلا المعيارين. إذا كانت DoH Alphabet تستخدم Intra في التطبيق أعلاه ، فقد تم استخدام بروتوكول DoT لحماية حركة المرور في Android Pie. أدرجت Google أيضًا دعم DoH و DoT في Google Public DNS - ولم يتم الإعلان عن تطبيق المعيار الثاني على الإطلاق .

يكتب السجل أن الاختيار النهائي بين دائرة النقل و DoH سيعتمد على المستخدمين ومقدمي الخدمة ، والآن لا يتمتع أي من المعايير بميزة واضحة. على وجه الخصوص ، وفقًا لخبراء تكنولوجيا المعلومات ، سيتطلب الاعتماد الواسع النطاق لبروتوكول وزارة الصحة عمليًا عقدين من الزمن.



ملاحظة: مواد أخرى من مدونة IaaS الخاصة بالشركة:


PPS قناتنا في Telegram - حول تقنيات المحاكاة الافتراضية:

Source: https://habr.com/ru/post/ar429768/


All Articles