我们分析有关基于HTTPS的DNS功能的观点,这些观点最近已成为Internet提供商和浏览器开发人员之间的“争论焦点”。
/不飞溅/ 史蒂夫·哈拉玛分歧的实质
最近,
大型媒体和
主题平台 (包括Habr)经常写有关HTTPS(DoH)上的DNS协议的文章。 它将对DNS服务器的查询进行加密并对其进行响应。 这种方法允许您隐藏用户访问的主机名。 从出版物中可以得出结论,新协议(IETF在2018年
批准了该协议)将IT社区分为两个阵营。
一半的人认为,新协议将提高Internet的安全性,并在其应用程序和服务中实现它。 另一半确信该技术只会使系统管理员的工作复杂化。 接下来,我们分析双方的论点。
卫生部如何运作
在继续讨论为什么Internet服务提供商和其他市场参与者赞成或反对基于HTTPS的DNS之前,我们将简要讨论其操作原理。
对于DoH,IP地址请求封装在HTTPS流量中。 然后将其转到HTTP服务器,并在其中使用API对其进行处理。 这是来自RFC 8484(
p。6 )的示例请求:
:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query? dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ accept = application/dns-message
因此,DNS流量隐藏在HTTPS流量中。 客户端和服务器在标准端口443上进行通信。结果,对域名系统的请求保持匿名。
为什么他们不喜欢他
反对使用HTTPS的DNS的反对者
说,新协议将降低连接安全性。 DNS开发团队成员Paul Vixie认为,系统管理员阻止潜在的恶意站点将更加困难。 同时,普通用户将失去在浏览器中配置条件父母控制的能力。
保罗的观点得到英国互联网服务提供商的认同。 国家/地区
法律要求他们封锁含有违禁内容的资源。 但是浏览器中的DoH支持使过滤流量的任务变得复杂。 对新协议的批评者还包括英国政府通讯中心(
GCHQ )和互联网监视基金会(
IWF ),后者维护着被阻止资源的记录。
在我们关于哈布雷的博客中:
专家说,基于HTTPS的DNS可能会成为网络安全威胁。 7月初,Netlab安全专家
发现了第一种将新协议用于DDoS攻击的病毒
-Godlua 。 该恶意软件转向DoH检索文本记录(TXT)并检索管理服务器的URL。
防病毒软件无法识别加密的DoH请求。 信息安全专家
担心 ,在Godlua之后,将会出现被动DNS监视不可见的其他恶意软件。
但是,并非所有事情都是反对的
为了防御HTTPS上的DNS,APNIC工程师Geoff Houston在他的博客上
发表了讲话 。 据他介绍,新协议将允许处理DNS劫持攻击,这种攻击最近变得越来越普遍。 这一事实
证实了信息安全公司FireEye一月份的报告。 该协议的开发得到了大型IT公司的支持。
早在去年年初,DoH就开始在Google上进行测试。 一个月前,该公司
推出了DoH服务的General Availability版本。 Google
希望它将提高网络上个人数据的安全性,并防止MITM攻击。
从去年夏天开始,另一个浏览器开发人员Mozilla就一直通过HTTPS
支持 DNS。 同时,该公司正在IT环境中积极推广新技术。 为此,Internet服务提供商协会(ISPA)
甚至提名 Mozilla为其“年度Internet恶棍”奖。 作为回应,公司代表
说,他们对电信运营商不愿改善过时的互联网基础设施感到失望。
/不溅水/ TETrebbien大型媒体和一些Internet服务提供商已经
表示支持Mozilla。 特别是,英国电信
认为 ,新协议不会影响内容过滤,不会增加英国用户的安全性。 在公众压力下,ISPA
必须撤回 “恶意”提名。
此外,云提供商(例如
Cloudflare )
支持通过HTTPS进行DNS的采用。 他们已经提供了基于新协议的DNS服务。
GitHub上提供了具有DoH支持的浏览器和客户端的完整列表。
无论如何,两个营地之间的对抗已经结束。 IT专家预测,如果注定要通过HTTPS的DNS成为大量Internet技术堆栈的一部分,则将需要
十多年的时间 。
我们还在公司博客中写些什么: