10月下旬,Internet工程理事会(IETF)
引入了HTTP over HTTPS(DoH)标准来对DNS流量进行加密,并以RFC 8484的形式对其进行了格式化。它已被许多大公司批准,但也有一些人对该IETF的决定不满意。 后者是DNS系统的创建者之一Paul Vixie(Paul Vixie)。 今天我们将告诉您重点。
/图片Martinelle PDDNS问题
DNS协议不会加密用户到服务器的请求以及对它们的响应。 数据以文本形式广播。 因此,请求包含用户正在访问的主机名。 这提供了“窃听”通信信道并拦截未受保护的个人数据的机会。
HTTPS上的DNS的本质是什么
为了解决这种情况,该标准是在基于HTTPS的DNS或“基于HTTPS的DNS”上提出的。 IETF于2017年5月
开始对此进行研究。 它由域名和IP地址管理公司ICANN的Paul Hoffman和Mozilla的Patrick McManus共同撰写。
DoH的特殊之处在于,用于确定IP地址的请求不会发送到DNS服务器,而是封装在HTTPS流量中,然后传输到HTTP服务器,在该服务器上,特殊的解析器使用API处理这些请求。 DNS流量被屏蔽为正常的HTTPS流量,并且通过标准HTTPS端口443进行客户端与服务器的通信。请求的内容以及使用DoH的事实均保持隐藏。
在RFC 8484中,工程委员会通过DoH向example.com
提供了 DNS查询的
示例 。 这是带有GET方法的请求:
:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query?dns=AAABAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB accept = application/dns-message
使用POST的类似请求:
:method = POST :scheme = https :authority = dnsserver.example.net :path = /dns-query accept = application/dns-message content-type = application/dns-message content-length = 33 <33 bytes represented by the following hex encoding> 00 00 01 00 00 01 00 00 00 00 00 00 03 77 77 77 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00 01
IT行业的许多代表已经提出支持IETF标准。
例如 ,APNIC Internet注册器的首席研究员Geoff Houston。
该协议的开发得到了大型互联网公司的支持。 自今年年初(协议仍处于草案阶段)以来,DoH已通过Google / Alphabet和Mozilla的测试。 Alphabet部门之一
已经发布了 Intra应用程序,用于加密用户的DNS流量。 从今年6月开始,Mozilla Firefox浏览器就已经
支持基于 HTTPS的DNS。
卫生部还实施了DNS服务
-Cloudflare和
Quad9 。 Cloudflare最近发布了一个应用程序(
这是有关Habré的文章 ),用于在Android和iOS上使用新协议。 它充当其自身设备(地址127.0.0.1)的VPN。 DNS查询开始使用DoH发送到Cloudflare,并且流量沿“正常”路由进行。
可以在
GitHub上找到支持DoH的浏览器和客户端的列表。
对DoH标准的批评
并非所有行业参与者都对IETF的决定给予了积极的回应。 该标准的反对者
认为 ,DoH是朝错误方向迈出的一步,只会降低连接安全性。 DNS系统的开发人员之一Paul Vixie对新协议的评价最为敏锐。 他在Twitter帐户中
称 DoH“在信息安全方面完全是胡说八道”。
他认为,新技术将无法有效控制网络的运行。 例如,系统管理员将无法阻止潜在的恶意站点,并且普通用户将无法在浏览器中进行家长控制。
/照片TheAndrasBarta PDDoH的反对者建议使用另一种方法-TLS上的
DNS或DoT 。 该技术被接受为IETF标准,并在
RFC 7858和
RFC 8310中进行了描述。 与DoH一样,DoT协议隐藏请求的内容,但不通过HTTPS发送请求,而是使用TLS。 要连接到DNS服务器,将使用一个单独的端口853。因此,发送DNS查询不会被隐藏,就像DoH一样。
DoT技术也受到批评。 专家特别指出:由于该协议与专用端口一起使用,因此第三方将能够监视安全通道的使用并在必要时将其阻止。
接下来等待协议的是什么
据专家称,尚不清楚哪种保护DNS查询的方法会变得更加普遍。
Cloudflare,Quad9和Alphabet现在支持这两个标准。 如果DoH Alphabet在上述应用程序中使用Intra,则使用DoT协议来保护Android Pie中的流量。 谷歌还在Google Public DNS中包含了DoH和DoT支持-完全没有
宣布第二个标准的实施。
登记册
写道 ,DoT和DoH之间的最终选择将取决于用户和提供者,现在,这些标准都没有明显的优势。 特别是,据IT专家称,要广泛传播DoH协议
将花费数十年的时间。
PS IaaS公司博客中的其他资料:
PPS我们
在Telegram中的频道 -有关虚拟化技术的信息: