Nous continuons à parler de l'histoire du DNS. Nous discutons des points de vue d'experts et d'entreprises qui sont pour et contre la mise en œuvre des protocoles DNS sur HTTPS et DNS sur TLS, ainsi que la spécification EDNS.
Photo - GT Wang - CC BY / Photo modifiéePeurs autour d'EDNS
Normalisé en 1987 (
RFC1035 ), le mécanisme DNS ne prenait pas en compte bon nombre des changements et des exigences de sécurité qui accompagnaient le développement d'Internet. Même l'auteur du système de noms de domaine - Paul Mockapetris (Paul Mockapetris) - dans une interview a déclaré qu'il ne s'attendait pas à une distribution aussi large de sa création. Selon ses estimations, le DNS était censé fonctionner avec des dizaines de millions d'adresses IP, mais leur nombre total
dépassait 300 millions .
Au départ, il y avait peu d'opportunités pour étendre la fonctionnalité DNS. Mais la situation a changé en 1999 quand ils ont publié la spécification EDNS0 (
RFC2671 ). Il a ajouté un nouveau type de pseudo-enregistrement - OPT. Il contient 16 drapeaux décrivant les propriétés de la requête DNS.
Notez que la norme EDNS0 était censée être une solution temporaire. À l'avenir, il serait remplacé par une version mise à jour d'EDNS1. Mais au lieu de se transformer en EDNS1 (pour lequel il existe un projet ), la spécification a commencé à se développer avec des options et des intégrations et est toujours utilisée.
EDNS0 vous a également permis d'attacher des informations de sous-réseau client aux enregistrements DNS. Cette approche
est utilisée par le réseau de distribution de contenu Akamai pour déterminer le serveur le plus proche de l'utilisateur. Cependant, Geoff Huston, un chercheur de premier plan du registraire Internet APNIC,
note que cela réduit le niveau global de sécurité de l'information. Les serveurs qui gèrent les zones DNS peuvent identifier l'utilisateur qui a envoyé la demande de téléchargement d'un fichier particulier. De plus, la charge sur les résolveurs locaux augmente. Ils sont obligés d'ajouter des clés de recherche pour les sous-réseaux à leur cache, ce qui réduit son efficacité.
Malgré les inquiétudes, la nouvelle fonctionnalité a été
mise en œuvre par Google Public DNS et OpenDNS. Peut-être qu'à l'avenir, la spécification EDNS0 sera modifiée pour améliorer la situation en matière de sécurité. Des modifications similaires peuvent être apportées dans EDNS1 s'il quitte le statut de brouillon.
Litiges DoH / DoT
DNS ne crypte pas les messages transmis entre le client et le serveur. Par conséquent, lors de l'interception de demandes, vous pouvez savoir quelles ressources l'utilisateur visite. Pour résoudre le problème en octobre dernier, les ingénieurs de l'IETF et de l'ICANN ont
publié la norme DNS sur HTTPS (DoH).
La nouvelle approche suggère d'envoyer des requêtes DNS non pas directement, mais de les masquer dans le trafic HTTPS. Les données sont échangées via le port standard 443, et si quelqu'un décide d'écouter le trafic, il lui sera assez difficile d'extraire des informations DNS. Google et Mozilla se sont prononcés en faveur du nouveau protocole - ils ont intégré la fonctionnalité DNS sur HTTPS dans leurs navigateurs.
Jeff Huston de l'APNIC a également noté que le DoH simplifiera la structure du réseau en réduisant le nombre de ports utilisés et accélérera la traduction des adresses.
Photos - Andrew Hart - CC BY-SAMais cette opinion n'est pas partagée par tous. Selon Paul Vixie, le développeur du serveur DNS BIND, la nouvelle norme complique au contraire l'administration du réseau. Cependant, le DoH ne
garantit pas l' anonymat des demandes. Vous pouvez déterminer les hôtes auxquels l'utilisateur accède à l'aide des réponses
SNI et
OCSP . Selon les
recherches de l' APNIC, un tiers n'a pas besoin d'enregistrements DNS pour déterminer les ressources que l'utilisateur visite. Ils peuvent être définis avec une précision de 95% uniquement par IP.
Pour cette raison, certains experts suggèrent d'utiliser une approche alternative - DNS sur TLS ( DoT ). Dans ce cas, le transfert des requêtes DNS se produit sur un port dédié 853. Ainsi, les données sont toujours cryptées, mais le fonctionnement du réseau est simplifié.
Il est difficile de dire laquelle des normes gagnera. Déjà, de nombreux fournisseurs de cloud et développeurs de navigateurs prennent en charge les deux protocoles. Celui qui obtiendra le plus de distribution ne sera montré que par le temps - dans tous les cas, cela
peut prendre plus d'une décennie .
Lecture supplémentaire sur le blog 1cloud:
Le cloud sauvera-t-il les smartphones ultra-économiques «Comment nous construisons l'IaaS»: matériaux 1cloud Contrôle des appareils électroniques à la frontière - un besoin ou une violation des droits de l'homme? C'est le tour: pourquoi Apple a changé les exigences pour les développeurs d'applications
Chez 1cloud.ru, nous proposons le service
Cloud Storage . Il peut être utilisé pour stocker des sauvegardes, archiver des données et échanger des documents d'entreprise.
Le système de stockage de données est
construit sur trois types de disques: HDD SATA, HDD SAS et SSD SAS. Leur volume total est de plusieurs milliers de téraoctets.