A fines de octubre, el Consejo de Ingeniería de Internet (IETF)
introdujo el estándar DNS sobre HTTPS (DoH) para encriptar el tráfico DNS, formateándolo en forma de RFC 8484. Fue aprobado por muchas grandes empresas, pero también hubo quienes no estaban satisfechos con la decisión del IETF. Entre estos últimos se encontraba uno de los creadores del sistema DNS, Paul Vixie (Paul Vixie). Hoy te diremos cuál es el punto.
/ foto Martinelle PDProblema de DNS
El protocolo DNS no cifra las solicitudes del usuario al servidor y las respuestas a ellas. Los datos se transmiten como texto. Por lo tanto, las solicitudes contienen los nombres de host que el usuario está visitando. Esto brinda la oportunidad de "espiar" el canal de comunicación e interceptar datos personales sin protección.
¿Cuál es la esencia de DNS sobre HTTPS?
Para remediar la situación, se propuso el estándar DNS sobre HTTPS o "DNS sobre HTTPS". El IETF
comenzó a trabajar en él en mayo de 2017. Fue coautor por Paul Hoffman de ICANN, una corporación de gestión de nombres de dominio y direcciones IP, y Patrick McManus de Mozilla.
La peculiaridad de DoH es que las solicitudes para determinar la dirección IP no se envían al servidor DNS, sino que se encapsulan en el tráfico HTTPS y se transmiten al servidor HTTP, en el que un resolutor especial las procesa utilizando la API. El tráfico DNS se enmascara como tráfico HTTPS normal, y la comunicación cliente-servidor se produce a través del puerto HTTPS estándar 443. El contenido de las solicitudes y el hecho de usar DoH permanecen ocultos.
En RFC 8484, el Consejo de Ingeniería
proporciona ejemplos de consultas DNS a example.com con DoH. Aquí está la solicitud con el método GET:
:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query?dns=AAABAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB accept = application/dns-message
Una solicitud similar usando POST:
:method = POST :scheme = https :authority = dnsserver.example.net :path = /dns-query accept = application/dns-message content-type = application/dns-message content-length = 33 <33 bytes represented by the following hex encoding> 00 00 01 00 00 01 00 00 00 00 00 00 03 77 77 77 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00 01
Muchos representantes de la industria de TI se han presentado en apoyo del estándar IETF.
Por ejemplo , Geoff Houston, investigador principal del Registrador de Internet APNIC.
El desarrollo del protocolo fue apoyado por grandes compañías de Internet. Desde principios de año (cuando el protocolo aún estaba en la etapa de borrador), DoH ha sido probado por Google / Alphabet y Mozilla. Una de las divisiones de Alphabet
ha lanzado la aplicación Intra para encriptar el tráfico DNS de los usuarios. El navegador Mozilla Firefox ha
soportado DNS sobre HTTPS desde junio de este año.
DoH también implementó servicios DNS:
Cloudflare y
Quad9 . Cloudflare lanzó recientemente una aplicación (
este fue un artículo sobre Habré ) para trabajar con el nuevo protocolo en Android e iOS. Actúa como una VPN para su propio dispositivo (a la dirección 127.0.0.1). Las consultas de DNS comienzan a enviarse a Cloudflare usando DoH, y el tráfico sigue la ruta "normal".
Puede encontrar una lista de navegadores y clientes con soporte DoH en
GitHub .
Críticas al estándar DoH
No todos los participantes de la industria han respondido positivamente a la decisión del IETF. Los opositores al estándar
creen que DoH es un paso en la dirección equivocada y solo reducirá el nivel de seguridad de la conexión. Paul Vixie, uno de los desarrolladores del sistema DNS, habló con mayor claridad sobre el nuevo protocolo. En su cuenta de Twitter,
llamó a DoH "sin sentido en términos de seguridad de la información".
En su opinión, la nueva tecnología no controlará efectivamente el funcionamiento de las redes. Por ejemplo, los administradores del sistema no podrán bloquear sitios potencialmente maliciosos, y los usuarios comunes se verán privados de la posibilidad de control parental en los navegadores.
/ foto TheAndrasBarta PDLos opositores de DoH sugieren usar un enfoque diferente:
DNS sobre TLS o DoT . Esta tecnología es aceptada como un estándar IETF y se describe en
RFC 7858 y
RFC 8310 . Al igual que DoH, el protocolo DoT oculta el contenido de las solicitudes, pero no las envía a través de HTTPS, sino que usa TLS. Para conectarse a un servidor DNS, se utiliza un puerto separado: 853. Debido a esto, el envío de una consulta DNS no está oculto, como es el caso con DoH.
La tecnología DoT también es criticada. En particular, los expertos señalan: debido al hecho de que el protocolo funciona con un puerto dedicado, un tercero podrá monitorear el uso de un canal seguro y, si es necesario, bloquearlo.
Lo que le espera a los protocolos a continuación
Según los expertos, aún no está claro cuáles de las formas de proteger las consultas DNS serán más comunes.
Cloudflare, Quad9 y Alphabet ahora admiten ambos estándares. Si DoH Alphabet usa Intra en la aplicación anterior, entonces se utilizó el protocolo DoT para proteger el tráfico en Android Pie. Google también incluyó soporte DoH y DoT en el DNS público de Google, y la implementación del segundo estándar no se
anunció en absoluto .
The Register
escribe que la elección final entre DoT y DoH dependerá de los usuarios y proveedores, y ahora ninguno de los estándares tiene una clara ventaja. En particular, según los expertos de TI, la adopción generalizada del protocolo DoH en la práctica
requerirá un par de décadas.
PD Otros materiales de nuestro blog corporativo IaaS:
PPS Nuestro
canal en Telegram - sobre tecnologías de virtualización: