Kami terus berbicara tentang sejarah DNS. Kami membahas pandangan para ahli dan perusahaan yang mendukung dan menentang implementasi DNS over HTTPS dan DNS over TLS protokol, serta spesifikasi EDNS.
Foto - GT Wang - CC BY / Foto dimodifikasiKetakutan di Sekitar EDNS
Standarisasi pada tahun 1987 (
RFC1035 ), mekanisme DNS tidak memperhitungkan banyak perubahan dan persyaratan keamanan yang datang dengan perkembangan Internet. Bahkan penulis sistem nama domain - Paul Mockapetris (Paul Mockapetris) - dalam sebuah wawancara mengatakan bahwa ia tidak berharap distribusi ciptaannya begitu luas. Menurut perkiraannya, DNS seharusnya bekerja dengan puluhan juta alamat IP, tetapi jumlah totalnya
melebihi 300 juta .
Awalnya, ada beberapa peluang untuk memperluas fungsionalitas DNS. Tetapi situasi berubah pada tahun 1999 ketika mereka menerbitkan spesifikasi EDNS0 (
RFC2671 ). Itu menambahkan jenis baru pseudo-recording - OPT. Ini berisi 16 flag yang menggambarkan properti dari query DNS.
Perhatikan bahwa standar EDNS0 seharusnya menjadi solusi sementara. Di masa depan, itu akan digantikan oleh versi EDNS1 yang diperbarui. Namun alih-alih berubah menjadi EDNS1 (yang ada konsep ), spesifikasi mulai tumbuh dengan opsi dan integrasi dan masih digunakan.
EDNS0 juga memungkinkan Anda untuk melampirkan informasi subnet klien ke catatan DNS. Pendekatan
ini digunakan oleh jaringan distribusi konten Akamai untuk menentukan server yang paling dekat dengan pengguna. Namun, Geoff Huston, seorang peneliti terkemuka di pencatat Internet APNIC,
mencatat bahwa ini mengurangi keseluruhan tingkat keamanan informasi. Server yang mengelola zona DNS dapat mengidentifikasi pengguna yang mengirim permintaan untuk mengunduh file tertentu. Plus, beban pada resolusi lokal meningkat. Mereka dipaksa untuk menambahkan kunci pencarian untuk subnet ke cache mereka, mengurangi efektivitasnya.
Meskipun ada kekhawatiran, fungsi baru ini
diterapkan oleh Google Public DNS dan OpenDNS. Mungkin di masa depan spesifikasi EDNS0 akan diubah untuk meningkatkan situasi keamanan. Modifikasi serupa dapat dilakukan di EDNS1 jika meninggalkan status konsep.
Sengketa DoH / DoT
DNS tidak mengenkripsi pesan yang dikirimkan antara klien dan server. Karenanya, saat mencegat permintaan, Anda dapat mengetahui sumber daya apa yang dikunjungi pengguna. Untuk mengatasi masalah Oktober lalu, insinyur dari IETF dan ICANN
menerbitkan standar DNS over HTTPS (DoH).
Pendekatan baru menyarankan pengiriman kueri DNS tidak secara langsung, tetapi menyembunyikannya dalam lalu lintas HTTPS. Data dipertukarkan melalui port standar 443, dan jika seseorang memutuskan untuk mendengarkan lalu lintas, akan sangat sulit baginya untuk mengekstrak informasi DNS. Google dan Mozilla berbicara untuk mendukung protokol baru - mereka mengintegrasikan fungsi DNS over HTTPS ke browser mereka.
Jeff Huston dari APNIC juga mencatat bahwa DoH akan menyederhanakan struktur jaringan dengan mengurangi jumlah port yang digunakan dan mempercepat terjemahan alamat.
Foto - Andrew Hart - CC BY-SANamun pendapat ini tidak dimiliki oleh semua. Menurut Paul Vixie, pengembang server BIND DNS, standar baru, sebaliknya, mempersulit administrasi jaringan. Namun, DoH
tidak menjamin anonimitas permintaan. Anda dapat menentukan host mana yang diakses pengguna menggunakan respons
SNI dan
OCSP . Menurut
penelitian APNIC, pihak ketiga tidak memerlukan catatan DNS untuk menentukan sumber daya yang dikunjungi pengguna. Mereka dapat diatur dengan akurasi 95% hanya oleh IP.
Untuk alasan ini, beberapa ahli menyarankan menggunakan pendekatan alternatif - DNS over TLS ( DoT ). Dalam hal ini, transfer kueri DNS terjadi pada port khusus 853. Jadi, data masih dienkripsi, tetapi operasi jaringan disederhanakan.
Sulit untuk mengatakan standar mana yang akan menang. Sudah, banyak penyedia cloud dan pengembang browser mendukung kedua protokol. Yang mana yang akan mendapatkan distribusi paling banyak hanya akan ditunjukkan oleh waktu - dalam hal apa pun, ini
bisa memakan waktu lebih dari satu dekade .
Bacaan tambahan di 1cloud Blog:
Apakah cloud akan menyimpan smartphone ultra-anggaran "Bagaimana Kita Membangun IaaS": 1 bahan keras Menyaring perangkat elektronik di perbatasan - kebutuhan atau pelanggaran hak asasi manusia? Inilah gilirannya: mengapa Apple telah mengubah persyaratan untuk pengembang aplikasi
Kami di 1cloud.ru menawarkan layanan
Penyimpanan Cloud . Ini dapat digunakan untuk menyimpan cadangan, mengarsipkan data, dan bertukar dokumen perusahaan.
Sistem penyimpanan data
dibangun di atas tiga jenis disk: HDD SATA, HDD SAS, dan SSD SAS. Total volume mereka adalah beberapa ribu terabyte.