Fin octobre, l'Internet Engineering Council (IETF) a
introduit la norme DNS sur HTTPS (DoH) pour crypter le trafic DNS, en la formatant sous la forme de la RFC 8484. Il a été approuvé par de nombreuses grandes entreprises, mais il y avait aussi ceux qui n'étaient pas satisfaits de la décision de l'IETF. Parmi ces derniers figurait l'un des créateurs du système DNS, Paul Vixie (Paul Vixie). Aujourd'hui, nous allons vous dire quel est le point.
/ photo Martinelle PDProblème DNS
Le protocole DNS ne crypte pas les demandes de l'utilisateur au serveur et les réponses à celles-ci. Les données sont diffusées sous forme de texte. Ainsi, les requêtes contiennent les noms d'hôtes que l'utilisateur visite. Cela donne la possibilité d'écouter sur le canal de communication et d'intercepter des données personnelles non protégées.
Quelle est l'essence du DNS sur HTTPS
Pour remédier à la situation, la norme a été proposée sur DNS sur HTTPS, ou «DNS sur HTTPS». L'IETF a
commencé à y travailler en mai 2017. Il a été co-écrit par Paul Hoffman de l'ICANN, une société de gestion de noms de domaine et d'adresses IP, et Patrick McManus de Mozilla.
La particularité de DoH est que les demandes de détermination de l'adresse IP ne sont pas envoyées au serveur DNS, mais sont encapsulées dans le trafic HTTPS et transmises au serveur HTTP, sur lequel un résolveur spécial les traite à l'aide de l'API. Le trafic DNS est masqué en tant que trafic HTTPS normal et la communication client-serveur se fait via le port HTTPS standard 443. Le contenu des requêtes et le fait d'utiliser DoH restent cachés.
Dans la RFC 8484, le Engineering Council
fournit des exemples de requêtes DNS à example.com avec DoH. Voici la requête avec la méthode GET:
:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query?dns=AAABAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB accept = application/dns-message
Une requête similaire à l'aide de POST:
:method = POST :scheme = https :authority = dnsserver.example.net :path = /dns-query accept = application/dns-message content-type = application/dns-message content-length = 33 <33 bytes represented by the following hex encoding> 00 00 01 00 00 01 00 00 00 00 00 00 03 77 77 77 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00 01
De nombreux représentants de l'industrie informatique se sont prononcés en faveur de la norme IETF.
Par exemple , Geoff Houston, chercheur principal chez APNIC Internet Registrar.
Le développement du protocole a été soutenu par de grandes sociétés Internet. Depuis le début de l'année (alors que le protocole était encore au stade de projet), DoH a été testé par Google / Alphabet et Mozilla. L'une des divisions Alphabet
a publié l' application Intra pour crypter le trafic DNS des utilisateurs. Le navigateur Mozilla Firefox prend en
charge DNS sur HTTPS depuis juin de cette année.
DoH a également mis en œuvre des services DNS -
Cloudflare et
Quad9 . Cloudflare a récemment publié une application (
c'était un article sur Habré ) pour travailler avec le nouveau protocole sur Android et iOS. Il agit comme un VPN sur son propre appareil (à l'adresse 127.0.0.1). Les requêtes DNS commencent à être envoyées à Cloudflare à l'aide de DoH, et le trafic suit la route «normale».
Une liste de navigateurs et de clients avec prise en charge DoH peut être trouvée sur
GitHub .
Critique de la norme DoH
Tous les participants de l'industrie n'ont pas répondu positivement à la décision de l'IETF. Les opposants à la norme
pensent que le DoH est un pas dans la mauvaise direction et qu'il ne fera que réduire le niveau de sécurité des connexions. Paul Vixie, l'un des développeurs du système DNS, a parlé le plus vivement du nouveau protocole. Dans son compte Twitter, il a
qualifié le DoH de «non-sens absolu en termes de sécurité de l'information».
À son avis, la nouvelle technologie ne contrôlera pas efficacement le fonctionnement des réseaux. Par exemple, les administrateurs système ne pourront pas bloquer les sites potentiellement malveillants, et les utilisateurs ordinaires seront privés de la possibilité de contrôle parental dans les navigateurs.
/ photo TheAndrasBarta PDLes opposants au DoH suggèrent d'utiliser une approche différente -
DNS sur TLS ou DoT . Cette technologie est acceptée en tant que norme IETF et est décrite dans les
RFC 7858 et
RFC 8310 . Comme DoH, le protocole DoT cache le contenu des demandes, mais ne les envoie pas via HTTPS, mais utilise TLS. Pour se connecter à un serveur DNS, un port séparé est utilisé - 853. Pour cette raison, l'envoi d'une requête DNS n'est pas masqué, comme c'est le cas avec DoH.
La technologie DoT est également critiquée. Notamment, les experts notent: du fait que le protocole fonctionne avec un port dédié, un tiers pourra surveiller l'utilisation d'un canal sécurisé et, si nécessaire, le bloquer.
Ce qui attend les protocoles ensuite
Selon les experts, les moyens de protéger les requêtes DNS ne deviendront pas encore plus courants.
Cloudflare, Quad9 et Alphabet prennent désormais en charge les deux normes. Si DoH Alphabet utilise Intra dans l'application ci-dessus, le protocole DoT a été
utilisé pour protéger le trafic dans Android Pie. Google a également inclus la prise en charge DoH et DoT dans le DNS public de Google - et la mise en œuvre de la deuxième norme n'a pas été
annoncée du tout .
Le registre
écrit que le choix final entre DoT et DoH dépendra des utilisateurs et des fournisseurs, et maintenant aucune des normes n'a un avantage clair. En particulier, selon les experts informatiques, l'adoption généralisée du protocole DoH dans la pratique
nécessitera quelques décennies.
PS Autres documents de notre blog d'entreprise IaaS:
PPS Notre
chaîne dans Telegram - sur les technologies de virtualisation: