"DNS over HTTPS" dikeluarkan di RFC 8484 - tetapi tidak semua orang menyukainya

Pada akhir Oktober, Internet Engineering Council (IETF) memperkenalkan standar DNS over HTTPS (DoH) untuk mengenkripsi lalu lintas DNS, memformatnya dalam bentuk RFC 8484. Itu disetujui oleh banyak perusahaan besar, tetapi ada juga yang tidak puas dengan keputusan IETF. Di antara yang terakhir adalah salah satu pencipta sistem DNS, Paul Vixie (Paul Vixie). Hari ini kami akan memberi tahu Anda apa intinya.


/ foto Martinelle PD

Masalah DNS

Protokol DNS tidak mengenkripsi permintaan dari pengguna ke server dan meresponsnya. Data disiarkan sebagai teks. Dengan demikian, permintaan tersebut berisi nama host yang dikunjungi oleh pengguna. Ini memberikan kesempatan untuk "menguping" di saluran komunikasi dan mencegat data pribadi yang tidak dilindungi.

Apa inti dari DNS melalui HTTPS

Untuk memperbaiki situasi, standar diusulkan melalui DNS melalui HTTPS, atau "DNS over HTTPS." IETF mulai mengerjakannya pada Mei 2017. Itu ditulis bersama oleh Paul Hoffman dari ICANN, nama domain dan perusahaan manajemen alamat IP, dan Patrick McManus dari Mozilla.

Keunikan DoH adalah bahwa permintaan untuk menentukan alamat IP tidak dikirim ke server DNS, tetapi dienkapsulasi dalam lalu lintas HTTPS dan dikirim ke server HTTP, di mana pemecah masalah khusus memprosesnya menggunakan API. Lalu lintas DNS ditutup sebagai lalu lintas HTTPS normal, dan komunikasi klien-server terjadi melalui port HTTPS standar 443. Isi permintaan dan fakta penggunaan DoH tetap tersembunyi.

Di RFC 8484, Dewan Teknik memberikan contoh permintaan DNS ke example.com dengan DoH. Ini adalah permintaan dengan metode GET:

:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query?dns=AAABAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB accept = application/dns-message 

Permintaan serupa menggunakan POST:

 :method = POST :scheme = https :authority = dnsserver.example.net :path = /dns-query accept = application/dns-message content-type = application/dns-message content-length = 33 <33 bytes represented by the following hex encoding> 00 00 01 00 00 01 00 00 00 00 00 00 03 77 77 77 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00 01 

Banyak perwakilan dari industri TI telah maju mendukung standar IETF. Misalnya , Geoff Houston, Peneliti Utama di Internet Registrar APNIC.

Pengembangan protokol didukung oleh perusahaan internet besar. Sejak awal tahun (ketika protokol masih pada tahap konsep) DoH telah diuji oleh Google / Alphabet dan Mozilla. Salah satu divisi Alphabet telah merilis aplikasi Intra untuk mengenkripsi lalu lintas DNS pengguna. Browser Mozilla Firefox telah mendukung DNS melalui HTTPS sejak Juni tahun ini.

DoH juga menerapkan layanan DNS - Cloudflare dan Quad9 . Cloudflare baru-baru ini merilis aplikasi ( ini adalah artikel tentang Habré ) untuk bekerja dengan protokol baru di Android dan iOS. Karena berfungsi sebagai VPN ke perangkatnya sendiri (ke alamat 127.0.0.1). Permintaan DNS mulai dikirim ke Cloudflare menggunakan DoH, dan lalu lintas berjalan di sepanjang rute "normal".

Daftar browser dan klien dengan dukungan DoH dapat ditemukan di GitHub .

Kritik terhadap standar DoH

Tidak semua peserta industri merespons positif keputusan IETF. Penentang standar percaya bahwa DoH adalah langkah ke arah yang salah dan hanya akan mengurangi tingkat keamanan koneksi. Paul Vixie, salah satu pengembang sistem DNS, berbicara paling tajam tentang protokol baru. Di akun Twitter-nya, ia menyebut DoH "sama sekali omong kosong dalam hal keamanan informasi."

Menurutnya, teknologi baru tidak akan secara efektif mengontrol operasi jaringan. Misalnya, administrator sistem tidak akan dapat memblokir situs yang berpotensi berbahaya, dan pengguna biasa akan kehilangan kemungkinan kontrol orangtua di browser.


/ foto TheAndrasBarta PD

Lawan dari DoH menyarankan menggunakan pendekatan yang berbeda - DNS over TLS, atau DoT . Teknologi ini diterima sebagai standar IETF dan dijelaskan dalam RFC 7858 dan RFC 8310 . Seperti DoH, protokol DoT menyembunyikan konten permintaan, tetapi tidak mengirimkannya melalui HTTPS, tetapi menggunakan TLS. Untuk terhubung ke server DNS, port terpisah digunakan - 853. Karena itu, mengirimkan permintaan DNS tidak disembunyikan, seperti halnya dengan DoH.

Teknologi DoT juga dikritik. Secara khusus, para ahli mencatat: karena fakta bahwa protokol bekerja dengan port khusus, pihak ketiga akan dapat memantau penggunaan saluran aman dan, jika perlu, memblokirnya.

Apa yang menunggu protokol selanjutnya

Menurut para ahli, belum jelas cara melindungi permintaan DNS mana yang lebih umum.

Cloudflare, Quad9, dan Alphabet sekarang mendukung kedua standar. Jika DoH Alphabet menggunakan Intra dalam aplikasi di atas, maka protokol DoT digunakan untuk melindungi lalu lintas di Android Pie. Google juga memasukkan dukungan DoH dan DoT dalam Google Public DNS - dan penerapan standar kedua tidak diumumkan sama sekali .

Register menulis bahwa pilihan terakhir antara DoT dan DoH akan tergantung pada pengguna dan penyedia, dan sekarang tidak ada standar yang memiliki keunggulan yang jelas. Secara khusus, menurut para pakar TI, adopsi protokol DoH yang luas dalam praktiknya akan membutuhkan beberapa dekade.

---

PS Materi lain dari blog perusahaan IaaS kami:

• Komputasi tanpa server di awan - tren modernitas atau kebutuhan?
• Arah NetApp 2018 - Laporan Konferensi

PPS Saluran kami di Telegram - tentang teknologi virtualisasi:

• NetApp A hingga Z: Tinjauan Umum Vendor Technologies
• Mengapa penyedia IaaS yang baik tidak membangun pusat datanya
• Apa lagi yang dimiliki VMware: alat virtualisasi