Ende Oktober führte der Internet Engineering Council (IETF) den DNS-über-HTTPS-Standard (DoH) zur Verschlüsselung des DNS-Verkehrs ein und formatierte ihn in Form von RFC 8484. Er wurde von vielen großen Unternehmen genehmigt, aber es gab auch diejenigen, die mit der IETF-Entscheidung nicht zufrieden waren. Unter den letzteren war einer der Schöpfer des DNS-Systems, Paul Vixie (Paul Vixie). Heute werden wir Ihnen sagen, worum es geht.
/ Foto Martinelle PDDNS-Problem
Das DNS-Protokoll verschlüsselt keine Anforderungen des Benutzers an den Server und keine Antworten darauf. Daten werden als Text gesendet. Somit enthalten die Anforderungen die Hostnamen, die der Benutzer besucht. Dies gibt die Möglichkeit, den Kommunikationskanal zu „belauschen“ und ungeschützte personenbezogene Daten abzufangen.
Was ist die Essenz von DNS über HTTPS?
Um Abhilfe zu schaffen, wurde der Standard über DNS über HTTPS oder "DNS über HTTPS" vorgeschlagen. Die IETF
hat im Mai 2017 damit begonnen. Es wurde von Paul Hoffman von ICANN, einem Unternehmen zur Verwaltung von Domainnamen und IP-Adressen, und Patrick McManus von Mozilla gemeinsam verfasst.
Die Besonderheit von DoH besteht darin, dass die Anforderungen zum Ermitteln der IP-Adresse nicht an den DNS-Server gesendet, sondern im HTTPS-Verkehr gekapselt und an den HTTP-Server übertragen werden, auf dem sie von einem speziellen Resolver mithilfe der API verarbeitet werden. Der DNS-Verkehr wird als normaler HTTPS-Verkehr maskiert, und die Client-Server-Kommunikation erfolgt über den Standard-HTTPS-Port 443. Der Inhalt der Anforderungen und die Tatsache, dass DoH verwendet wird, bleiben verborgen.
In RFC 8484 stellt der Engineering Council example.com mit DoH
Beispiele für DNS-Abfragen zur Verfügung. Hier ist die Anfrage mit der GET-Methode:
:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query?dns=AAABAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB accept = application/dns-message
Eine ähnliche Anfrage mit POST:
:method = POST :scheme = https :authority = dnsserver.example.net :path = /dns-query accept = application/dns-message content-type = application/dns-message content-length = 33 <33 bytes represented by the following hex encoding> 00 00 01 00 00 01 00 00 00 00 00 00 03 77 77 77 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00 01
Viele Vertreter der IT-Branche haben sich für den IETF-Standard ausgesprochen.
Zum Beispiel Geoff Houston, leitender Forscher bei APNIC Internet Registrar.
Die Entwicklung des Protokolls wurde von großen Internetunternehmen unterstützt. Seit Anfang des Jahres (als sich das Protokoll noch im Entwurfsstadium befand) wurde DoH von Google / Alphabet und Mozilla getestet. Eine der Alphabet-Abteilungen
hat die Intra-Anwendung zur Verschlüsselung des DNS-Verkehrs von Benutzern veröffentlicht. Der Mozilla Firefox-Browser
unterstützt seit Juni dieses Jahres DNS über HTTPS.
DoH implementierte auch DNS-Dienste -
Cloudflare und
Quad9 . Cloudflare hat kürzlich eine Anwendung (
dies war ein Artikel über Habré ) für die Arbeit mit dem neuen Protokoll für Android und iOS veröffentlicht. Es fungiert als VPN für sein eigenes Gerät (an die Adresse 127.0.0.1). DNS-Abfragen werden mithilfe von DoH an Cloudflare gesendet, und der Datenverkehr verläuft auf der „normalen“ Route.
Eine Liste der Browser und Clients mit DoH-Unterstützung finden Sie auf
GitHub .
Kritik am DoH-Standard
Nicht alle Branchenteilnehmer haben positiv auf die IETF-Entscheidung reagiert. Gegner des Standards
glauben, dass DoH ein Schritt in die falsche Richtung ist und nur das Maß an Verbindungssicherheit verringert. Paul Vixie, einer der Entwickler des DNS-Systems, sprach am schärfsten über das neue Protokoll. In seinem Twitter-Account
nannte er DoH "völligen Unsinn in Bezug auf Informationssicherheit".
Seiner Meinung nach wird die neue Technologie den Betrieb von Netzwerken nicht effektiv steuern. Beispielsweise können Systemadministratoren potenziell schädliche Websites nicht blockieren, und normalen Benutzern wird die Möglichkeit der Kindersicherung in Browsern vorenthalten.
/ Foto TheAndrasBarta PDGegner von DoH schlagen einen anderen Ansatz vor -
DNS über TLS oder DoT . Diese Technologie wird als IETF-Standard akzeptiert und ist in
RFC 7858 und
RFC 8310 beschrieben . Wie DoH verbirgt das DoT-Protokoll den Inhalt von Anforderungen, sendet sie jedoch nicht über HTTPS, sondern verwendet TLS. Für die Verbindung zu einem DNS-Server wird ein separater Port verwendet - 853. Aus diesem Grund ist das Senden einer DNS-Abfrage nicht verborgen, wie dies bei DoH der Fall ist.
Die DoT-Technologie wird ebenfalls kritisiert. Experten weisen insbesondere darauf hin: Aufgrund der Tatsache, dass das Protokoll mit einem dedizierten Port zusammenarbeitet, kann ein Dritter die Verwendung eines sicheren Kanals überwachen und gegebenenfalls blockieren.
Was erwartet die Protokolle als nächstes
Experten zufolge ist noch nicht klar, welche Möglichkeiten zum Schutz von DNS-Abfragen häufiger werden.
Cloudflare, Quad9 und Alphabet unterstützen jetzt beide Standards. Wenn DoH Alphabet in der obigen Anwendung Intra verwendet, wurde das DoT-Protokoll
verwendet , um den Datenverkehr in Android Pie zu schützen. Google hat auch DoH- und DoT-Unterstützung in das öffentliche DNS von Google aufgenommen - und die Implementierung des zweiten Standards wurde überhaupt nicht
angekündigt .
Das Register
schreibt, dass die endgültige Wahl zwischen DoT und DoH von Benutzern und Anbietern abhängt, und jetzt hat keiner der Standards einen klaren Vorteil. Insbesondere nach Ansicht von IT-Experten wird die weit verbreitete Anwendung des DoH-Protokolls in der Praxis einige Jahrzehnte dauern.
PS Weitere Materialien aus unserem IaaS-Unternehmensblog:
PPS Unser
Kanal im Telegramm - über Virtualisierungstechnologien: