نقوم بتحليل الآراء المتعلقة بميزات DNS عبر HTTPS ، والتي أصبحت مؤخرًا "مصدر خلاف" بين مزودي الإنترنت ومطوري المتصفح.
/ Unsplash / ستيف Halamaجوهر الخلاف
في الآونة الأخيرة ، غالبًا ما تكتب
الوسائط الكبيرة والمنصات المواضيعية (بما في ذلك Habr) عن بروتوكول DNS عبر HTTPS (DoH). يقوم بتشفير الاستعلامات إلى خادم DNS والرد عليها. يسمح لك هذا الأسلوب بإخفاء أسماء المضيفين التي يصل إليها المستخدم. من المنشورات ، يمكننا أن نستنتج أن البروتوكول الجديد (
وافق عليه IETF في عام 2018) قسم مجتمع تكنولوجيا المعلومات إلى معسكرين.
يعتقد نصفهم أن البروتوكول الجديد سيزيد من أمان الإنترنت ، وينفذه في تطبيقاته وخدماته. النصف الآخر مقتنع بأن التكنولوجيا تعقد فقط عمل مسؤولي النظام. بعد ذلك ، نقوم بتحليل حجج كلا الجانبين.
كيف تعمل وزارة الصحة؟
قبل الانتقال إلى الحديث عن سبب دعم مقدمي خدمات الإنترنت والمشاركين الآخرين في السوق لـ DNS أو ضده عبر HTTPS ، سنناقش مبادئ تشغيله بإيجاز.
في حالة DoH ، يتم تغليف طلب عنوان IP في حركة مرور HTTPS. ثم ينتقل إلى خادم HTTP ، حيث تتم معالجته باستخدام واجهة برمجة التطبيقات. فيما يلي طلب مثال من RFC 8484 (
ص. 6 ):
:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query? dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ accept = application/dns-message
وبالتالي ، يتم إخفاء حركة مرور DNS في حركة مرور HTTPS. يتواصل العميل والخادم على المنفذ القياسي 443. ونتيجة لذلك ، تظل الطلبات المقدمة إلى نظام اسم المجال مجهولة.
لماذا لا يفضلونه؟
يقول معارضو DNS عبر HTTPS
أن البروتوكول الجديد سيقلل من أمان الاتصال. وفقًا لبول Vixie ، عضو فريق تطوير DNS ، سيكون من الصعب على مسؤولي النظام حظر المواقع التي يحتمل أن تكون ضارة. في الوقت نفسه ، سيفقد المستخدمون العاديون القدرة على تكوين الرقابة الأبوية المشروطة في المتصفحات.
يتم مشاركة رأي Paul من قبل مزودي خدمة الإنترنت في المملكة المتحدة.
قانون البلد
يتطلب منهم حجب الموارد مع محتوى محظور. لكن دعم DoH في المتصفحات يعقد مهمة تصفية حركة المرور. يشمل منتقدو البروتوكول الجديد أيضًا مركز الاتصالات الحكومية في إنجلترا (
GCHQ ) ومؤسسة مراقبة الإنترنت (
IWF ) ، التي تحتفظ بسجل للموارد المحظورة.
في مدونتنا على حبري:
يقول الخبراء إن DNS عبر HTTPS يمكن أن يصبح تهديدًا للأمن السيبراني. في أوائل يوليو ،
اكتشف خبراء أمان Netlab أول فيروس يستخدم بروتوكولًا جديدًا لهجمات DDoS -
Godlua . تحولت البرامج الضارة إلى DoH لاسترداد السجلات النصية (TXT) واسترداد عناوين URL لخوادم الإدارة.
لم يتم التعرف على طلبات DoH المشفرة بواسطة برنامج مكافحة الفيروسات.
يخشى خبراء أمن المعلومات أنه بعد غودلوا سوف تأتي البرامج الضارة الأخرى التي هي غير مرئية لرصد DNS السلبي.
ولكن ليس كل شيء ضد
دفاعًا عن DNS عبر HTTPS ،
تحدث المهندس APNIC Geoff Houston على مدونته. ووفقا له ، سيسمح البروتوكول الجديد بالتعامل مع هجمات اختطاف نظام أسماء النطاقات ، التي أصبحت شائعة بشكل متزايد في الآونة الأخيرة. هذه الحقيقة
تؤكد تقرير يناير لشركة أمن المعلومات FireEye. تم دعم تطوير البروتوكول من قبل شركات تكنولوجيا المعلومات الكبيرة.
في بداية العام الماضي ، بدأ اختبار DoH في Google. وقبل شهر ،
قدمت الشركة إصدار General Available من خدمة DoH.
تأمل Google أن تزيد من أمان البيانات الشخصية على الشبكة وتحميها من هجمات MITM.
هناك مطور متصفح آخر ، Mozilla ،
يدعم DNS عبر HTTPS منذ الصيف الماضي. في الوقت نفسه ، تعمل الشركة بنشاط على ترويج تقنية جديدة في بيئة تكنولوجيا المعلومات. لهذا ،
رشّحت جمعية موفري خدمات الإنترنت (ISPA) موزيلا
لجائزة "شرير الإنترنت للعام". ورداً على ذلك ،
قال ممثلو الشركة إنهم يشعرون بخيبة أمل إزاء إحجام مشغلي الاتصالات عن تحسين البنية التحتية للإنترنت التي عفا عليها الزمن.
/ Unsplash / TETrebbienتحدثت وسائل الإعلام الكبيرة وبعض موفري خدمات الإنترنت دعما لموزيلا. على وجه الخصوص ،
تعتقد British Telecom أن البروتوكول الجديد لن يؤثر على تصفية المحتوى وزيادة أمان المستخدمين البريطانيين. تحت الضغط العام ،
اضطر ISPA
إلى سحب الترشيح "الشرير".
أيضًا ، تم اعتماد اعتماد DNS عبر HTTPS من قِبل موفري السحابة ، مثل
Cloudflare . أنها توفر بالفعل خدمات DNS على أساس البروتوكول الجديد. تتوفر قائمة كاملة بالمتصفحات والعملاء الذين يدعمون DoH على
GitHub .
في أي حال ، ليست هناك حاجة للحديث عن نهاية المواجهة بين المعسكرين حتى الآن. يتوقع خبراء تكنولوجيا المعلومات أنه إذا كان من المفترض أن يصبح DNS عبر HTTPS جزءًا من مجموعة هائلة من تقنيات الإنترنت ، فسيستغرق الأمر أكثر
من عقد .
ماذا نكتب في مدونة شركتنا: