Wir sprechen weiterhin über die Geschichte von DNS. Wir diskutieren die Ansichten von Experten und Unternehmen, die für und gegen die Implementierung der Protokolle DNS over HTTPS und DNS over TLS sowie der EDNS-Spezifikation sind.
Foto - GT Wang - CC BY / Foto geändertÄngste um EDNS
Der 1987
standardisierte DNS-Mechanismus (
RFC1035 ) berücksichtigte viele der Änderungen und Sicherheitsanforderungen, die mit der Entwicklung des Internets
einhergingen , nicht. Sogar der Autor des Domainnamensystems - Paul Mockapetris (Paul Mockapetris) - sagte in einem Interview, dass er nicht mit einer so breiten Verbreitung seiner Kreation gerechnet habe. Seiner Schätzung nach sollte DNS mit mehreren zehn Millionen IP-Adressen arbeiten, doch ihre Gesamtzahl
überschritt 300 Millionen .
Anfänglich gab es nur wenige Möglichkeiten, die DNS-Funktionalität zu erweitern. Die Situation änderte sich jedoch 1999, als die EDNS0-Spezifikation (
RFC2671 ) veröffentlicht wurde. Es wurde eine neue Art der Pseudoaufzeichnung hinzugefügt - OPT. Es enthält 16 Flags, die die Eigenschaften der DNS-Abfrage beschreiben.
Beachten Sie, dass der EDNS0-Standard eine vorübergehende Lösung sein sollte. In Zukunft würde es durch eine aktualisierte Version von EDNS1 ersetzt. Aber anstatt sich in EDNS1 (für das es einen Entwurf gibt ) zu verwandeln, begann die Spezifikation mit Optionen und Integrationen zu wachsen und wird immer noch verwendet.
Mit EDNS0 konnten Sie auch Client-Subnetzinformationen an DNS-Einträge anhängen. Dieser Ansatz
wird vom Akamai-Netzwerk zur Verteilung
von Inhalten verwendet, um den dem Benutzer am nächsten gelegenen Server zu ermitteln. Geoff Huston, ein führender Forscher bei der Internetregistrierungsstelle von APNIC,
merkt jedoch an, dass dies die allgemeine Informationssicherheit verringert. Server, die DNS-Zonen verwalten, können den Benutzer identifizieren, der die Anforderung zum Herunterladen einer bestimmten Datei gesendet hat. Außerdem erhöht sich die Belastung der lokalen Drehmelder. Sie sind gezwungen, ihrem Cache Suchschlüssel für Subnetze hinzuzufügen, was dessen Effektivität verringert.
Trotz aller Bedenken wurde die neue Funktionalität
von Google Public DNS und OpenDNS
implementiert . Möglicherweise wird in Zukunft die EDNS0-Spezifikation geändert, um die Sicherheitslage zu verbessern. Ähnliche Änderungen können in EDNS1 vorgenommen werden, wenn der Entwurfsstatus verlassen wird.
DoH / DoT-Streitigkeiten
DNS verschlüsselt keine Nachrichten, die zwischen dem Client und dem Server übertragen werden. Wenn Sie also Anforderungen abfangen, können Sie herausfinden, welche Ressourcen der Benutzer besucht. Um das Problem im vergangenen Oktober zu lösen, haben Ingenieure von IETF und ICANN den DNS-over-HTTPS-Standard (DoH) veröffentlicht.
Der neue Ansatz schlägt vor, DNS-Abfragen nicht direkt zu senden, sondern im HTTPS-Verkehr auszublenden. Der Datenaustausch erfolgt über den Standard-Port 443. Wenn sich jemand entscheidet, den Datenverkehr zu überwachen, ist es für ihn ziemlich schwierig, DNS-Informationen zu extrahieren. Google und Mozilla sprachen sich für das neue Protokoll aus - sie haben die DNS-über-HTTPS-Funktionalität in ihre Browser integriert.
Jeff Huston von APNIC bemerkte auch , dass DoH die Netzwerkstruktur vereinfachen wird, indem die Anzahl der verwendeten Ports reduziert und die Adressumsetzung beschleunigt wird.
Fotos - Andrew Hart - CC BY-SADiese Meinung wird jedoch nicht von allen geteilt. Laut Paul Vixie, dem Entwickler des BIND-DNS-Servers, erschwert der neue Standard hingegen die Netzwerkadministration. DoH
garantiert jedoch
keine Anonymität der Anfragen. Sie können mithilfe von
SNI- und
OCSP- Antworten bestimmen, auf welche Hosts der Benutzer zugreift. Laut APNIC-
Untersuchungen benötigt ein Dritter keine DNS-Einträge, um die Ressourcen zu ermitteln, die der Benutzer besucht. Sie können nur per IP mit einer Genauigkeit von 95% eingestellt werden.
Aus diesem Grund schlagen einige Experten einen alternativen Ansatz vor - DNS über TLS ( DoT ). In diesem Fall erfolgt die Übertragung von DNS-Abfragen an einem dedizierten Port 853. Die Daten sind also immer noch verschlüsselt, der Netzwerkbetrieb wird jedoch vereinfacht.
Es ist schwer zu sagen, welcher der Standards gewinnen wird. Viele Cloud-Anbieter und Browser-Entwickler unterstützen bereits beide Protokolle. Welches die meiste Verteilung erhält, wird nur nach Zeit angezeigt - in jedem Fall
kann es mehr als ein Jahrzehnt dauern .
Zusätzliche Lektüre im 1cloud Blog:
Spart die Cloud Ultra-Budget-Smartphones? "Wie wir IaaS bauen": 1cloud materials Kontrolle elektronischer Geräte an der Grenze - Notwendigkeit oder Verletzung der Menschenrechte? Dies ist die Wende: Warum Apple die Anforderungen für Anwendungsentwickler geändert hat
Wir bei 1cloud.ru bieten den
Cloud Storage Service an. Es kann verwendet werden, um Backups zu speichern, Daten zu archivieren und Unternehmensdokumente auszutauschen.
Das Datenspeichersystem besteht
aus drei Festplattentypen: HDD SATA, HDD SAS und SSD SAS. Ihr Gesamtvolumen beträgt mehrere tausend Terabyte.