我们继续谈论DNS的历史。 我们讨论了赞成和反对在HTTPS上使用DNS以及在TLS协议上使用DNS以及EDNS规范的专家和公司的观点。
照片-GT Wang -CC BY /照片修改对EDNS的恐惧
DNS机制于1987年标准化(
RFC1035 ),没有考虑到Internet发展带来的许多变化和安全要求。 甚至域名系统的作者Paul Mockapetris(Paul Mockapetris)在一次采访中都说,他并不期望自己的作品分布如此广泛。 据他估计,DNS应该可以使用数千万个IP地址,但其总数
超过了3亿个 。
最初,几乎没有机会扩展DNS功能。 但是情况在1999年发布EDNS0规范(
RFC2671 )时发生了变化。 它添加了一种新型的伪记录-OPT。 它包含16个标记,描述了DNS查询的属性。
注意,EDNS0标准被认为是一个临时解决方案。 将来,它将被EDNS1的更新版本代替。 但是,该规范没有变成EDNS1( 有草案 ),而是随着选项和集成的发展而不断发展,并且仍在使用。
EDNS0还允许您将客户端子网信息附加到DNS记录。 Akamai内容分发网络
使用此方法来确定最接近用户的服务器。 但是,APNIC互联网注册商的首席研究员Geoff Huston
指出 ,这降低了信息安全的总体水平。 管理DNS区域的服务器能够识别发送下载特定文件请求的用户。 此外,本地解析器上的负载也会增加。 他们被迫将子网的查找密钥添加到其缓存中,从而降低其有效性。
尽管存在顾虑,新功能还是
由 Google Public DNS和OpenDNS实现的。 也许将来会修改EDNS0规范以改善安全状况。 如果EDNS1离开草稿状态,则可以在EDNS1中进行类似的修改。
DoH / DoT争议
DNS不会对客户端和服务器之间传输的消息进行加密。 因此,在拦截请求时,您可以找出用户正在访问哪些资源。 为了解决该问题,去年10月,IETF和ICANN的工程师
发布了基于HTTPS(DoH)的DNS。
新方法建议不要直接发送DNS查询,而是将其隐藏在HTTPS流量中。 数据是通过标准端口443交换的,如果有人决定侦听流量,那么他将很难提取DNS信息。 Google和Mozilla表示支持新协议-他们将基于HTTPS的DNS功能集成到了浏览器中。
APNIC的Jeff Huston还指出 ,DoH将通过减少使用的端口数并加快地址转换来简化网络结构。
照片-Andrew Hart -CC BY-SA但是,这种观点并非所有人都认同。 相反,BIND DNS服务器的开发人员Paul Vixie认为,新标准使网络管理变得复杂。 但是,DoH不
保证请求的匿名性。 您可以使用
SNI和
OCSP响应来确定用户正在访问哪些主机。 根据APNIC的
研究 ,第三方不需要DNS记录来确定用户正在访问的资源。 仅通过IP可以将其设置为95%的精度。
因此,一些专家建议使用另一种方法-TLS上的 DNS( DoT )。 在这种情况下,DNS查询的传输发生在专用端口853上。因此,数据仍被加密,但是简化了网络操作。
很难说哪个标准将获胜。 许多云提供商和浏览器开发人员已经支持这两种协议。 哪一个分配最多,只会按时间显示-在任何情况下,都
可能需要超过十年的时间 。
关于1cloud博客的更多阅读:
云将节省超预算的智能手机吗 “我们如何构建IaaS”:1cloud材料 在边境检查电子设备-是否需要或侵犯人权? 轮到了:为什么苹果改变了对应用程序开发人员的要求
我们在1cloud.ru提供
云存储服务。 它可用于存储备份,存档数据和交换公司文档。
数据存储系统基于三种类型的磁盘
构建 :HDD SATA,HDD SAS和SSD SAS。 它们的总容量为数千TB。