Continuamos a falar sobre a história do DNS. Discutimos as opiniões de especialistas e empresas que são a favor e contra a implementação dos protocolos DNS sobre HTTPS e DNS sobre TLS, bem como a especificação EDNS.
Foto - GT Wang - CC BY / Foto modificadaMedos em torno do EDNS
Padronizado em 1987 (
RFC1035 ), o mecanismo DNS não levou em consideração muitas das alterações e requisitos de segurança que vieram com o desenvolvimento da Internet. Até o autor do sistema de nomes de domínio - Paul Mockapetris (Paul Mockapetris) - em uma entrevista disse que não esperava uma distribuição tão ampla de sua criação. Segundo suas estimativas, o DNS deveria funcionar com dezenas de milhões de endereços IP, mas seu número total
excedia 300 milhões .
Inicialmente, havia poucas oportunidades para expandir a funcionalidade do DNS. Mas a situação mudou em 1999, quando publicaram a especificação EDNS0 (
RFC2671 ). Ele adicionou um novo tipo de pseudo-gravação - OPT. Ele contém 16 sinalizadores que descrevem as propriedades da consulta DNS.
Observe que o padrão EDNS0 deveria ser uma solução temporária. No futuro, seria substituído por uma versão atualizada do EDNS1. Mas, em vez de se transformar em EDNS1 (para o qual há um rascunho ), a especificação começou a crescer com opções e integrações e ainda está em uso.
O EDNS0 também permitiu anexar informações de sub-rede do cliente aos registros DNS. Essa abordagem
é usada pela rede de distribuição de conteúdo da Akamai para determinar o servidor mais próximo do usuário. No entanto, Geoff Huston, pesquisador líder do registro na Internet da APNIC,
observa que isso reduz o nível geral de segurança da informação. Os servidores que gerenciam zonas DNS podem identificar o usuário que enviou a solicitação para baixar um arquivo específico. Além disso, a carga nos resolvedores locais aumenta. Eles são forçados a adicionar chaves de pesquisa para sub-redes ao cache, reduzindo sua eficácia.
Apesar das preocupações, a nova funcionalidade foi
implementada pelo DNS público do Google e pelo OpenDNS. Talvez no futuro a especificação EDNS0 seja alterada para melhorar a situação de segurança. Modificações semelhantes podem ser feitas no EDNS1 se ele sair do status de rascunho.
Disputas DoH / DoT
O DNS não criptografa as mensagens transmitidas entre o cliente e o servidor. Portanto, ao interceptar solicitações, você pode descobrir quais recursos o usuário está visitando. Para resolver o problema em outubro passado, os engenheiros da IETF e da ICANN
publicaram o padrão DNS sobre HTTPS (DoH).
A nova abordagem sugere o envio de consultas DNS não diretamente, mas ocultando-as no tráfego HTTPS. Os dados são trocados pela porta padrão 443 e, se alguém decidir ouvir o tráfego, será bastante difícil para ele extrair informações de DNS. Google e Mozilla falaram em apoio ao novo protocolo - eles integraram a funcionalidade DNS sobre HTTPS em seus navegadores.
Jeff Huston, da APNIC, também observou que o DoH simplificará a estrutura da rede, reduzindo o número de portas usadas e acelerando a conversão de endereços.
Fotos - Andrew Hart - CC BY-SAMas essa opinião não é compartilhada por todos. Segundo Paul Vixie, desenvolvedor do servidor DNS do BIND, o novo padrão, pelo contrário, complica a administração da rede. No entanto, o DoH
não garante o anonimato dos pedidos. Você pode determinar quais hosts o usuário está acessando usando respostas
SNI e
OCSP . Segundo
a pesquisa da APNIC, terceiros não precisam de registros DNS para determinar os recursos que o usuário está visitando. Eles podem ser configurados com uma precisão de 95% apenas por IP.
Por esse motivo, alguns especialistas sugerem o uso de uma abordagem alternativa - DNS sobre TLS ( DoT ). Nesse caso, a transferência de consultas DNS ocorre em uma porta dedicada 853. Portanto, os dados ainda são criptografados, mas a operação de rede é simplificada.
É difícil dizer qual dos padrões vencerá. Muitos provedores de nuvem e desenvolvedores de navegadores já suportam os dois protocolos. Qual deles obterá a maior distribuição será mostrado apenas pelo tempo - em qualquer caso,
pode levar mais de uma década .
Leitura adicional no 1cloud Blog:
A nuvem salvará smartphones com orçamento limitado “Como construímos IaaS”: materiais 1cloud Triagem de dispositivos eletrônicos na fronteira - uma necessidade ou violação dos direitos humanos? Esta é a vez: por que a Apple mudou os requisitos para desenvolvedores de aplicativos
Em 1cloud.ru, oferecemos o serviço
Cloud Storage . Pode ser usado para armazenar backups, arquivar dados e trocar documentos corporativos.
O sistema de armazenamento de dados é
construído em três tipos de discos: HDD SATA, HDD SAS e SSD SAS. Seu volume total é de vários milhares de terabytes.