"DNS sobre HTTPS" é emitido na RFC 8484 - mas nem todos estão satisfeitos com isso

No final de outubro, o Internet Engineering Council (IETF) introduziu o padrão DNS sobre HTTPS (DoH) para criptografar o tráfego DNS, formatando-o na forma da RFC 8484. Foi aprovado por muitas grandes empresas, mas também havia quem não estivesse satisfeito com a decisão da IETF. Entre os últimos, um dos criadores do sistema DNS, Paul Vixie (Paul Vixie). Hoje vamos dizer qual é o objetivo.


/ foto Martinelle PD

Problema de DNS

O protocolo DNS não criptografa solicitações do usuário ao servidor e respostas a eles. Os dados são transmitidos como texto. Assim, as solicitações contêm os nomes de host que o usuário está visitando. Isso oferece a oportunidade de "escutar" o canal de comunicação e interceptar dados pessoais desprotegidos.

Qual é a essência do DNS sobre HTTPS

Para remediar a situação, o padrão foi proposto sobre DNS sobre HTTPS ou "DNS sobre HTTPS". A IETF começou a trabalhar em maio de 2017. Foi co-autoria de Paul Hoffman, da ICANN, empresa de gerenciamento de nomes de domínio e endereço IP, e Patrick McManus, da Mozilla.

A peculiaridade do DoH é que as solicitações para determinar o endereço IP não são enviadas ao servidor DNS, mas são encapsuladas no tráfego HTTPS e transmitidas ao servidor HTTP, no qual um resolvedor especial as processa usando a API. O tráfego DNS é mascarado como tráfego HTTPS normal e a comunicação cliente-servidor ocorre através da porta HTTPS padrão 443. O conteúdo das solicitações e o fato de usar o DoH permanecem ocultos.

No RFC 8484, o Conselho de Engenharia fornece exemplos de consultas DNS para example.com com o DoH. Aqui está a solicitação com o método GET:

:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query?dns=AAABAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB accept = application/dns-message 

Uma solicitação semelhante usando POST:

 :method = POST :scheme = https :authority = dnsserver.example.net :path = /dns-query accept = application/dns-message content-type = application/dns-message content-length = 33 <33 bytes represented by the following hex encoding> 00 00 01 00 00 01 00 00 00 00 00 00 03 77 77 77 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00 01 

Muitos representantes da indústria de TI se apresentaram em apoio ao padrão IETF. Por exemplo , Geoff Houston, pesquisador principal do APNIC Internet Registrar.

O desenvolvimento do protocolo foi apoiado por grandes empresas de Internet. Desde o início do ano (quando o protocolo ainda estava na fase de rascunho), o DoH foi testado pelo Google / Alphabet e Mozilla. Uma das divisões do Alphabet lançou o aplicativo Intra para criptografar o tráfego DNS dos usuários. O navegador Mozilla Firefox suporta DNS sobre HTTPS desde junho deste ano.

O DoH também implementou serviços DNS - Cloudflare e Quad9 . O Cloudflare lançou recentemente um aplicativo ( este foi um artigo sobre Habré ) para trabalhar com o novo protocolo no Android e iOS. Ele atua como uma VPN para seu próprio dispositivo (para o endereço 127.0.0.1). As consultas DNS começam a ser enviadas ao Cloudflare usando DoH, e o tráfego segue a rota "normal".

Uma lista de navegadores e clientes com suporte a DoH pode ser encontrada no GitHub .

Críticas ao padrão DoH

Nem todos os participantes do setor responderam positivamente à decisão da IETF. Os opositores do padrão acreditam que o DoH é um passo na direção errada e reduzirá apenas o nível de segurança da conexão. Paul Vixie, um dos desenvolvedores do sistema DNS, falou mais detalhadamente sobre o novo protocolo. Em sua conta no Twitter, ele chamou o DoH de "total absurdo em termos de segurança da informação".

Na sua opinião, a nova tecnologia não controlará efetivamente o funcionamento das redes. Por exemplo, os administradores de sistema não poderão bloquear sites potencialmente maliciosos e os usuários comuns serão privados da possibilidade de controle dos pais nos navegadores.


/ foto TheAndrasBarta PD

Os opositores do DoH sugerem o uso de uma abordagem diferente - DNS sobre TLS ou DoT . Essa tecnologia é aceita como um padrão IETF e é descrita na RFC 7858 e na RFC 8310 . Como o DoH, o protocolo DoT oculta o conteúdo das solicitações, mas não as envia por HTTPS, mas usa o TLS. Para conectar-se a um servidor DNS, uma porta separada é usada - 853. Por esse motivo, o envio de uma consulta DNS não está oculto, como é o caso do DoH.

A tecnologia DoT também é criticada. Em particular, os especialistas observam: devido ao fato de o protocolo funcionar com uma porta dedicada, terceiros poderão monitorar o uso de um canal seguro e, se necessário, bloqueá-lo.

O que aguarda os protocolos a seguir

Segundo especialistas, ainda não está claro qual das maneiras de proteger as consultas DNS se tornará mais comum.

Cloudflare, Quad9 e Alphabet agora suportam os dois padrões. Se o DoH Alphabet usar Intra no aplicativo acima, o protocolo DoT foi usado para proteger o tráfego no Android Pie. O Google também incluiu suporte ao DoH e DoT no DNS público do Google - e a implementação do segundo padrão não foi anunciada .

O Register escreve que a escolha final entre DoT e DoH dependerá de usuários e provedores, e agora nenhum dos padrões tem uma clara vantagem. Em particular, de acordo com especialistas em TI, a adoção generalizada do protocolo de DoH na prática exigirá algumas décadas.

---

PS Outros materiais de nosso blog corporativo de IaaS:

• Computação sem servidor na nuvem - a tendência da modernidade ou a necessidade?
• Direções da NetApp 2018 - Relatório da conferência

PPS Nosso canal no Telegram - sobre tecnologias de virtualização:

• NetApp de A a Z: visão geral de tecnologias de fornecedores
• Por que um bom provedor de IaaS não constrói seu data center
• O que mais a VMware possui: ferramentas de virtualização