"Liebt und mag nicht": DNS über HTTPS

Wir analysieren Meinungen zu den Funktionen von DNS über HTTPS, die in letzter Zeit bei Internetanbietern und Browserentwicklern zu einem "Streitpunkt" geworden sind.


/ Unsplash / Steve Halama

Das Wesentliche der Meinungsverschiedenheit

In letzter Zeit schreiben große Medien und thematische Plattformen (einschließlich Habr) häufig über das Protokoll DNS über HTTPS (DoH). Es verschlüsselt Abfragen an den DNS-Server und Antworten darauf. Mit diesem Ansatz können Sie die Hostnamen ausblenden, auf die der Benutzer zugreift. Aus den Veröffentlichungen können wir schließen, dass das neue Protokoll (IETF genehmigte es 2018) die IT-Community in zwei Lager aufteilte.

Die Hälfte glaubt, dass das neue Protokoll die Sicherheit des Internets erhöhen und es in seinen Anwendungen und Diensten implementieren wird. Die andere Hälfte ist überzeugt, dass die Technologie die Arbeit der Systemadministratoren nur erschwert. Als nächstes analysieren wir die Argumente beider Seiten.

Wie DoH funktioniert

Bevor wir uns mit der Frage befassen, warum Internetdienstanbieter und andere Marktteilnehmer DNS über HTTPS befürworten oder ablehnen, werden wir kurz erläutern, wie dies funktioniert.

Im Fall von DoH ist eine IP-Adressanforderung im HTTPS-Verkehr gekapselt. Dann geht es zum HTTP-Server, wo es über die API verarbeitet wird. Hier ist eine Beispielanforderung von RFC 8484 ( S. 6 ):

:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query? dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ accept = application/dns-message 

Daher ist der DNS-Verkehr im HTTPS-Verkehr verborgen. Der Client und der Server kommunizieren über den Standardport 443. Infolgedessen bleiben Anforderungen an das Domänennamensystem anonym.

Warum sie ihn nicht bevorzugen

Gegner von DNS über HTTPS sagen, dass das neue Protokoll die Verbindungssicherheit verringern wird. Laut Paul Vixie, einem Mitglied des DNS-Entwicklungsteams, wird es für Systemadministratoren schwieriger sein, potenziell schädliche Websites zu blockieren. Gleichzeitig verlieren normale Benutzer die Möglichkeit, die bedingte Kindersicherung in Browsern zu konfigurieren.

Pauls Meinung wird von britischen Internetdienstanbietern geteilt. Das Landesgesetz schreibt vor, dass sie Ressourcen mit verbotenen Inhalten blockieren müssen. Die DoH-Unterstützung in Browsern erschwert jedoch das Filtern des Datenverkehrs. Zu den Kritikern des neuen Protokolls zählen auch das Government Communications Centre of England ( GCHQ ) und die Internet Watch Foundation ( IWF ), die ein Register blockierter Ressourcen führt.

^{In unserem Blog über Habré:}

• Der US-Robo-Call-Krieg - wer gewinnt und warum
• Die britische Telekommunikation zahlt den Abonnenten eine Entschädigung für Verbindungsabbrüche

Experten sagen, dass DNS über HTTPS zu einer Bedrohung für die Cybersicherheit werden kann. Anfang Juli entdeckten Netlab-Sicherheitsexperten den ersten Virus, der ein neues Protokoll für DDoS-Angriffe verwendete - Godlua . Die Malware wandte sich an DoH, um Textdatensätze (TXT) abzurufen und die URLs der Verwaltungsserver abzurufen.

Verschlüsselte DoH-Anforderungen wurden von der Antivirensoftware nicht erkannt. Experten für Informationssicherheit befürchten, dass nach Godlua andere Malware auftreten wird, die für die passive DNS-Überwachung unsichtbar ist.

Aber nicht alles ist dagegen

Zur Verteidigung von DNS über HTTPS sprach der APNIC-Ingenieur Geoff Houston in seinem Blog. Ihm zufolge wird das neue Protokoll die Bekämpfung von DNS-Hijacking-Angriffen ermöglichen, die in letzter Zeit immer häufiger geworden sind. Diese Tatsache bestätigt den Januar-Bericht des Informationssicherheitsunternehmens FireEye. Die Entwicklung des Protokolls wurde von großen IT-Unternehmen unterstützt.

Bereits Anfang letzten Jahres wurde DoH bei Google getestet. Vor einem Monat stellte das Unternehmen die General Availability-Version seines DoH-Dienstes vor. Google hofft , die Sicherheit personenbezogener Daten im Netzwerk zu erhöhen und vor MITM-Angriffen zu schützen.

Ein anderer Browser-Entwickler, Mozilla, unterstützt seit letztem Sommer DNS über HTTPS. Gleichzeitig fördert das Unternehmen aktiv neue Technologien in der IT-Umgebung. Dafür hat die Internet Services Providers Association (ISPA) Mozilla sogar für die Auszeichnung "Internet Villain of the Year" nominiert. Als Reaktion darauf äußerten sich Unternehmensvertreter enttäuscht über die Zurückhaltung der Telekommunikationsbetreiber, die veraltete Internetinfrastruktur zu verbessern.


/ Unsplash / TETrebbien

Große Medien und einige Internetdienstanbieter haben sich für Mozilla ausgesprochen . Insbesondere ist British Telecom der Ansicht, dass das neue Protokoll die Filterung von Inhalten nicht beeinträchtigen und die Sicherheit britischer Benutzer erhöhen wird. Unter öffentlichem Druck musste die ISPA die "bösartige" Nominierung zurückziehen .

Die Einführung von DNS über HTTPS wurde auch von Cloud-Anbietern wie Cloudflare unterstützt . Sie bieten bereits DNS-Dienste an, die auf dem neuen Protokoll basieren. Eine vollständige Liste der Browser und Clients mit DoH-Unterstützung finden Sie auf GitHub .

Über das Ende der Konfrontation zwischen den beiden Lagern muss noch nicht gesprochen werden. IT-Experten sagen voraus, dass es mehr als ein Jahrzehnt dauern wird, bis DNS über HTTPS Teil des riesigen Stapels von Internet-Technologien wird.

^{Was schreiben wir noch in unserem Unternehmensblog:}

• Wie wird das Netzwerk des Internetdienstanbieters aufgebaut?
• Die Hauptdienste in den Netzen des Internetproviders
• Konvergenz und Vereinheitlichung - mehrere Aufgaben auf einem Gerät