"Suka dan tidak suka": DNS over HTTPS

Kami menganalisis pendapat tentang fitur-fitur DNS lebih dari HTTPS, yang baru-baru ini menjadi "rebutan" antara penyedia Internet dan pengembang browser.


/ Unsplash / Steve Halama

Inti dari ketidaksepakatan

Baru-baru ini, media besar dan platform tematik (termasuk Habr), sering menulis tentang protokol DNS melalui HTTPS (DoH). Ini mengenkripsi pertanyaan ke server DNS dan meresponsnya. Pendekatan ini memungkinkan Anda untuk menyembunyikan nama host yang diakses pengguna. Dari publikasi, kita dapat menyimpulkan bahwa protokol baru (IETF menyetujuinya pada 2018) membagi komunitas TI menjadi dua kubu.

Setengah percaya bahwa protokol baru akan meningkatkan keamanan Internet, dan mengimplementasikannya dalam aplikasi dan layanannya. Setengah lainnya yakin bahwa teknologi hanya mempersulit pekerjaan administrator sistem. Selanjutnya, kami menganalisis argumen kedua belah pihak.

Bagaimana DoH Bekerja

Sebelum beralih ke membahas mengapa penyedia layanan Internet dan pelaku pasar lainnya mendukung atau menentang DNS melalui HTTPS, kami akan membahas secara singkat prinsip-prinsip operasinya.

Dalam kasus DoH, permintaan alamat IP dienkapsulasi dalam lalu lintas HTTPS. Lalu ia pergi ke server HTTP, di mana ia diproses menggunakan API. Berikut adalah contoh permintaan dari RFC 8484 ( p. 6 ):

:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query? dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ accept = application/dns-message 

Dengan demikian, lalu lintas DNS disembunyikan dalam lalu lintas HTTPS. Klien dan server berkomunikasi pada port standar 443. Akibatnya, permintaan ke sistem nama domain tetap anonim.

Kenapa mereka tidak mendukungnya

Penentang DNS melalui HTTPS mengatakan protokol baru akan mengurangi keamanan koneksi. Menurut Paul Vixie, anggota tim pengembangan DNS, akan lebih sulit bagi administrator sistem untuk memblokir situs yang berpotensi berbahaya. Pada saat yang sama, pengguna biasa akan kehilangan kemampuan untuk mengonfigurasi kontrol orang tua bersyarat di browser.

Pendapat Paul dibagikan oleh penyedia layanan Internet Inggris. Hukum negara mengharuskan mereka untuk memblokir sumber daya dengan konten yang dilarang. Tetapi dukungan DoH di browser mempersulit tugas menyaring lalu lintas. Pengkritik protokol baru ini juga termasuk Pusat Komunikasi Pemerintah Inggris ( GCHQ ) dan Internet Watch Foundation ( IWF ), yang mengelola daftar sumber daya yang diblokir.

^{Di blog kami di Habré:}

• Perang robo-panggilan AS - siapa yang menang dan mengapa
• Telekomunikasi Inggris akan membayar kompensasi pelanggan untuk pemutusan

Para ahli mengatakan bahwa DNS over HTTPS dapat menjadi ancaman keamanan siber. Pada awal Juli, pakar keamanan Netlab menemukan virus pertama yang menggunakan protokol baru untuk serangan DDoS - Godlua . Malware beralih ke DoH untuk mengambil catatan teks (TXT) dan mengambil URL dari server manajemen.

Permintaan DoH terenkripsi tidak dikenali oleh perangkat lunak antivirus. Para pakar keamanan informasi khawatir bahwa setelah Godlua, malware lain akan muncul yang tidak terlihat oleh pemantauan DNS pasif.

Tapi tidak semuanya menentang

Untuk mempertahankan DNS melalui HTTPS, insinyur APNIC Geoff Houston berbicara di blog-nya. Menurutnya, protokol baru akan memungkinkan untuk menangani serangan pembajakan DNS, yang baru-baru ini menjadi semakin umum. Fakta ini menegaskan laporan Januari dari perusahaan keamanan informasi FireEye. Pengembangan protokol didukung oleh perusahaan IT besar.

Kembali pada awal tahun lalu, DoH mulai diuji di Google. Dan sebulan yang lalu, perusahaan memperkenalkan versi Ketersediaan Umum dari layanan DoH-nya. Google berharap akan meningkatkan keamanan data pribadi di jaringan dan melindungi terhadap serangan MITM.

Pengembang browser lain, Mozilla, telah mendukung DNS melalui HTTPS sejak musim panas lalu. Pada saat yang sama, perusahaan secara aktif mempromosikan teknologi baru di lingkungan TI. Untuk ini, Asosiasi Penyedia Layanan Internet (ISPA) bahkan menominasikan Mozilla untuk penghargaan "Penjahat Internet Tahun Ini". Sebagai tanggapan, perwakilan perusahaan mengatakan mereka kecewa dengan keengganan operator telekomunikasi untuk meningkatkan infrastruktur Internet yang ketinggalan jaman.


/ Unsplash / TETrebbien

Media besar dan beberapa penyedia layanan Internet telah berbicara untuk mendukung Mozilla. Secara khusus, British Telecom percaya bahwa protokol baru tidak akan mempengaruhi pemfilteran konten dan meningkatkan keamanan pengguna Inggris. Di bawah tekanan publik, ISPA harus menarik nominasi "jahat".

Juga, adopsi DNS melalui HTTPS didukung oleh penyedia cloud, seperti Cloudflare . Mereka sudah menawarkan layanan DNS berdasarkan protokol baru. Daftar lengkap peramban dan klien dengan dukungan DoH tersedia di GitHub .

Bagaimanapun, tidak perlu membicarakan tentang akhir konfrontasi antara kedua kubu. Pakar TI memperkirakan bahwa jika DNS lebih dari HTTPS ditakdirkan untuk menjadi bagian dari tumpukan besar teknologi Internet, akan diperlukan lebih dari satu dekade .

^{Apa lagi yang kami tulis di blog perusahaan kami:}

• Bagaimana Jaringan Penyedia Layanan Internet Dibangun
• Layanan utama dalam jaringan penyedia Internet
• Konvergensi dan penyatuan - banyak tugas pada satu perangkat