DNS през HTTPS (DoH) е тук, противоречието се сервира - Think Big Empresas

DoH (DNS през HTTPS) е много проста. Вместо да отиде на порт 53 на сървър (да речем, добре познатия 8.8.8.8) и да поиска домейн чрез UDP или TCP пакет, DoH стандартизира конструкцията на GET или POST към HTTPS домейн и отговорът ще бъде записът A и AAAA (RFC не посочва други записи) с IP. Разбира се, имате повече подробности като гениалното решение, което заглавието кеш-контрол ще стане TTL. Всички криптиране от край до край, очевидно. Спомняте ли си, когато в хотел можете да тунелирате през DNS протокола (обикновено неограничен) HTTP сърфиране, за да не плащате за WiFi? Ами сега, назад.

противоречието

DNS протоколът е като камила. С течение на времето той е обременен с толкова голяма тежест, принуден е да издържи толкова много лепенки, лекарства и плъгини, че сега търпеливо пълзи през пустинята, без всъщност да реши какъвто и да е проблем, освен какъвто е проектиран. И по една или друга причина все още не е постигната желаната сигурност и/или поверителност. Не защото не е предложено (всъщност има десетки алтернативни или допълващи се предложения помежду си), а защото нито едно не е масово прието. От DNSSEC, през DNS през TLS (DoT), което, както се досещате, трябва да продължи със същия DNS протокол, но с TLS тунел (нещо като POP3 И SPOP3). DoT, най-близкото до DoH, използва порт 853 и ефективно скрива съдържанието на трафика и удостоверява сървъра. Този RFC е предложен през 2016 г. Но той не е станал толкова популярен, колкото се очаква. Това със сигурност не е предизвикало вълнението, повдигнато с DoH.

Между другото, има и DNS през DTLS, DNS през QUIC, DNS през TOR ... Има дори DoH, който връща Json, но това е специална адаптация, която Google използва (въпреки че Cloudfare също го прави) по-мощна ( например, позволява справка с други записи освен само A или AAAA).

Тези изображения показват как да използвате DoH чрез API на Google и Cloudfare и как връща Json

DNS е един от най-старите протоколи в мрежата и винаги е бил главоболие за сигурността (от атаката за рождения ден до проблема с Камински). Всичко е ясно, с възможност за UDP (още по-лесно да се инжектират фалшиви пакети ...). Катастрофа дори без необходимост от атаки, защото сървърите могат да бъдат контролирани от правителствата и по този начин да пренасочват или блокират заявките. И всичко това по абсолютно прозрачен начин и без поверителност или почтеност (тъй като DNSSEC не е толкова добре установен, колкото би трябвало да бъде). Ние поверихме основите на Интернет на протокол, който не успя да се защити технологично, така че решенията да бяха масово възприети (или не е желано, точно поради същата причина) и на които са били използвани всякакви лепенки и лапи се прилага, за да не се наруши наследството. Толкова много В крайна сметка предложението за постигане на сигурност е новаторско: предайте резолюцията на равнището на данните. И ако това не беше достатъчно, DoH кара резолюцията да не се доверява на глобалния DNS на системата, но може да игнорира този DNS сървър, който обикновено се предоставя от DHCP ... така че всяко приложение да може да разреши чрез HTTPS по стандартен начин.

Но това не е лошо, нали? Не би ли било прекрасно, ако никой не видя това, което се опитвахме да решим, и не можеше да го промени по никакъв начин? Прикрийте исканията и отговорите в HTTPS и се оставете да бъдете отнесени от тълпата в пристанище, което никой не може да отреже, 443. Няма повече шпиони или ограничения. Това обещава DoH, но дали се чупи повече, отколкото поправя?