نواصل الحديث عن تاريخ DNS. نناقش آراء الخبراء والشركات الذين يؤيدون ويعارضون تنفيذ DNS عبر HTTPS و DNS عبر بروتوكولات TLS ، وكذلك مواصفات EDNS.
صور - GT Wang - CC BY / تعديل الصورةمخاوف حول EDNS
في عام 1987 (
RFC1035 ) ، لم تأخذ آلية DNS في الاعتبار العديد من التغييرات ومتطلبات الأمان التي جاءت مع تطور الإنترنت. حتى مؤلف نظام اسم المجال - Paul Mockapetris (Paul Mockapetris) - في مقابلة قال إنه لا يتوقع مثل هذا التوزيع الواسع لخلقه. وفقًا لتقديراته ، كان من المفترض أن يعمل DNS مع عشرات الملايين من عناوين IP ، لكن العدد الإجمالي
تجاوز 300 مليون .
في البداية ، كانت هناك فرص قليلة لتوسيع وظائف DNS. لكن الموقف تغير في عام 1999 عندما نشروا مواصفات EDNS0 (
RFC2671 ). وأضاف نوع جديد من التسجيل الزائف - الأراضي الفلسطينية المحتلة. يحتوي على 16 علامة تصف خصائص استعلام DNS.
لاحظ أن معيار EDNS0 كان من المفترض أن يكون حلاً مؤقتًا. في المستقبل ، سيتم استبداله بإصدار محدث من EDNS1. ولكن بدلاً من التحول إلى EDNS1 (التي توجد بها مسودة ) ، بدأت المواصفات تنمو مع الخيارات والتكاملات وما زالت قيد الاستخدام.
سمح لك EDNS0 أيضًا بإرفاق معلومات الشبكة الفرعية للعميل بسجلات DNS.
يتم استخدام هذا النهج من
قبل شبكة توزيع محتوى Akamai لتحديد الخادم الأقرب للمستخدم. ومع ذلك ،
يلاحظ جيف هوستون ، الباحث البارز في مسجل APNIC للإنترنت ، أن هذا يقلل من المستوى العام لأمن المعلومات. تستطيع الخوادم التي تدير مناطق DNS تحديد المستخدم الذي أرسل طلب تنزيل ملف معين. بالإضافة إلى ذلك ، يزيد الحمل على محللات المحلية. يتم إجبارهم على إضافة مفاتيح بحث للشبكات الفرعية إلى ذاكرة التخزين المؤقت الخاصة بهم ، مما يقلل من فعاليتها.
على الرغم من المخاوف ، تم
تنفيذ الوظيفة الجديدة
بواسطة Google Public DNS و OpenDNS. ربما في المستقبل ، سيتم تعديل مواصفات EDNS0 لتحسين الوضع الأمني. يمكن إجراء تعديلات مماثلة في EDNS1 إذا تركت حالة المسودة.
نزاعات DoH / DoT
لا يقوم DNS بتشفير الرسائل المرسلة بين العميل والخادم. لذلك ، عند اعتراض الطلبات ، يمكنك معرفة الموارد التي يزورها المستخدم. لحل المشكلة في شهر أكتوبر الماضي ، نشر مهندسون من IETF و ICANN DNS عبر HTTPS (DoH) القياسي.
يقترح النهج الجديد إرسال استعلامات DNS بشكل غير مباشر ، ولكن إخفائها في حركة مرور HTTPS. يتم تبادل البيانات عبر المنفذ القياسي 443 ، وإذا قرر شخص ما الاستماع إلى حركة المرور ، فسيكون من الصعب عليه استخراج معلومات DNS. تحدث كل من Google و Mozilla لدعم البروتوكول الجديد - حيث قاما بدمج DNS على وظائف HTTPS في متصفحاتهما.
كما أشار Jeff Huston من APNIC إلى أن DoH سوف تبسط بنية الشبكة من خلال تقليل عدد المنافذ المستخدمة وتسريع ترجمة العنوان.
صور - أندرو هارت - CC BY-SAلكن هذا الرأي لا يشاركه الجميع. وفقًا لبول Vixie ، مطور خادم DNS BIND ، المعيار الجديد ، على العكس من ذلك ، يعقد إدارة الشبكة. ومع ذلك ، فإن وزارة الصحة لا
تضمن عدم الكشف عن هويتها للطلبات. يمكنك تحديد الأجهزة المضيفة التي يصل إليها المستخدم باستخدام استجابات
SNI و
OCSP . وفقًا
لبحوث APNIC ، لا يحتاج طرف ثالث إلى سجلات DNS لتحديد الموارد التي يزورها المستخدم. يمكن ضبطها بدقة 95 ٪ فقط عن طريق IP.
لهذا السبب ، يقترح بعض الخبراء استخدام نهج بديل - DNS عبر TLS ( DoT ). في هذه الحالة ، يحدث نقل استعلامات DNS على منفذ مخصص 853. لذلك ، لا تزال البيانات مشفرة ، ولكن عملية الشبكة مبسطة.
من الصعب تحديد أي من المعايير سيفوز. بالفعل ، يدعم العديد من موفري السحابة ومطوري المتصفح كلا البروتوكولين. أي واحد سيحصل على أكبر توزيع سيتم عرضه فقط بمرور الوقت - على أي حال ،
قد يستغرق الأمر أكثر من عقد .
قراءة إضافية على مدونة 1cloud:
هل ستوفر السحابة الهواتف الذكية فائقة الميزانية "كيف نبني IaaS": مواد 1cloud فحص الأجهزة الإلكترونية على الحدود - حاجة أم انتهاك لحقوق الإنسان؟ هذا هو الدور: لماذا غيرت Apple متطلبات مطوري التطبيقات
نحن في 1cloud.ru نقدم خدمة
التخزين السحابي . يمكن استخدامه لتخزين النسخ الاحتياطية وأرشفة البيانات وتبادل مستندات الشركة.
نظام تخزين البيانات
مبني على ثلاثة أنواع من الأقراص: HDD SATA و HDD SAS و SSD SAS. حجمها الإجمالي هو عدة آلاف تيرابايت.