Nous analysons les opinions concernant les fonctionnalités de DNS sur HTTPS, qui sont récemment devenues une "pomme de discorde" parmi les fournisseurs Internet et les développeurs de navigateurs.
/ Unsplash / Steve HalamaL'essence du désaccord
Récemment, les
grands médias et
plates-formes thématiques (y compris Habr), écrivent souvent sur le protocole DNS sur HTTPS (DoH). Il crypte les requêtes sur le serveur DNS et les réponses. Cette approche vous permet de masquer les noms d'hôte auxquels l'utilisateur accède. D'après les publications, nous pouvons conclure que le nouveau protocole (l'IETF l'a
approuvé en 2018) divisait la communauté informatique en deux camps.
La moitié pense que le nouveau protocole renforcera la sécurité d'Internet et le mettra en œuvre dans ses applications et services. L'autre moitié est convaincue que la technologie ne fait que compliquer le travail des administrateurs système. Ensuite, nous analysons les arguments des deux parties.
Comment fonctionne DoH
Avant de parler des raisons pour lesquelles les fournisseurs de services Internet et les autres acteurs du marché sont en faveur ou contre DNS sur HTTPS, nous discuterons brièvement des principes de son fonctionnement.
Dans le cas de DoH, une demande d'adresse IP est encapsulée dans le trafic HTTPS. Ensuite, il va au serveur HTTP, où il est traité à l'aide de l'API. Voici un exemple de demande de RFC 8484 (
p. 6 ):
:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query? dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ accept = application/dns-message
Ainsi, le trafic DNS est caché dans le trafic HTTPS. Le client et le serveur communiquent sur le port standard 443. Par conséquent, les demandes adressées au système de noms de domaine restent anonymes.
Pourquoi ils ne le favorisent pas
Les opposants au DNS sur HTTPS
disent que le nouveau protocole réduira la sécurité de la connexion. Selon Paul Vixie, membre de l'équipe de développement DNS, il sera plus difficile pour les administrateurs système de bloquer les sites potentiellement malveillants. Dans le même temps, les utilisateurs ordinaires perdront la possibilité de configurer le contrôle parental conditionnel dans les navigateurs.
L'avis de Paul est partagé par les fournisseurs de services Internet britanniques. La
législation du pays
les oblige à bloquer les ressources dont le contenu est interdit. Mais la prise en charge DoH dans les navigateurs complique la tâche de filtrage du trafic. Les critiques du nouveau protocole comprennent également le Government Communications Center of England (
GCHQ ) et la Internet Watch Foundation (
IWF ), qui tient un registre des ressources bloquées.
Dans notre blog sur Habré:
Les experts disent que DNS sur HTTPS peut devenir une menace de cybersécurité. Début juillet, les experts en sécurité de Netlab ont
découvert le premier virus qui utilisait un nouveau protocole pour les attaques DDoS -
Godlua . Le malware s'est tourné vers DoH pour récupérer des enregistrements de texte (TXT) et récupérer les URL des serveurs de gestion.
Les demandes DoH chiffrées n'étaient pas reconnues par un logiciel antivirus. Les experts en sécurité de l'information
craignent qu'après Godlua d'autres logiciels malveillants ne soient invisibles pour la surveillance DNS passive.
Mais tout n'est pas contre
Pour défendre DNS sur HTTPS, l'ingénieur APNIC Geoff Houston
s'est exprimé sur son blog. Selon lui, le nouveau protocole permettra de faire face aux attaques de détournement de DNS, qui sont récemment devenues de plus en plus courantes. Ce fait
confirme le rapport de janvier de la société de sécurité informatique FireEye. Le développement du protocole a été soutenu par de grandes sociétés informatiques.
Au début de l'année dernière, DoH a commencé à être testé chez Google. Et il y a un mois, la société a
introduit la version de disponibilité générale de son service DoH. Google
espère que cela augmentera la sécurité des données personnelles sur le réseau et protégera contre les attaques MITM.
Un autre développeur de navigateur, Mozilla, prend en
charge DNS sur HTTPS depuis l'été dernier. Parallèlement, la société promeut activement les nouvelles technologies dans l'environnement informatique. Pour cela, l'Association des fournisseurs de services Internet (ISPA) a
même nommé Mozilla pour le prix "Internet Villain of the Year". En réponse, les représentants de l'entreprise se sont
dits déçus de la réticence des opérateurs de télécommunications à améliorer une infrastructure Internet obsolète.
/ Unsplash / TETrebbienLes grands médias et certains fournisseurs de services Internet se sont
prononcés en faveur de Mozilla. En particulier, British Telecom
estime que le nouveau protocole n'affectera pas le filtrage du contenu et n'augmentera pas la sécurité des utilisateurs britanniques. Sous la pression du public, l'ISPA
a dû retirer sa candidature "méchante".
En outre, l'adoption de DNS sur HTTPS a été
prise en
charge par des fournisseurs de cloud, tels que
Cloudflare . Ils proposent déjà des services DNS basés sur le nouveau protocole. Une liste complète des navigateurs et des clients avec prise en charge DoH est disponible sur
GitHub .
En tout cas, il n'est pas encore nécessaire de parler de la fin de la confrontation entre les deux camps. Les experts informatiques prévoient que si DNS sur HTTPS est destiné à faire partie de la pile massive de technologies Internet, cela prendra plus
d'une décennie .
Quoi d'autre écrivons-nous dans notre blog d'entreprise: