DNS przez HTTPS

DNS przez HTTPS
Protokół komunikacyjny
Zamiar enkapsuluj DNS w HTTPS dla prywatności i bezpieczeństwa
Wstęp październik 2018 ; 4 lata temu ( 2018-10 )
warstwa OSI Warstwa aplikacji
dokumenty RFC RFC8484
Protokoły bezpieczeństwa internetowego
Zarządzanie kluczami
Warstwa aplikacji
System nazw domen
warstwa internetowa

DNS przez HTTPS ( DoH ) to protokół do wykonywania zdalnego rozpoznawania systemu nazw domen (DNS) za pośrednictwem protokołu HTTPS . Celem tej metody jest zwiększenie prywatności i bezpieczeństwa użytkowników poprzez zapobieganie podsłuchiwaniu i manipulowaniu danymi DNS przez ataki typu „man-in-the-middle” przy użyciu protokołu HTTPS do szyfrowania danych między klientem DoH a programem rozpoznawania nazw DNS opartym na DoH . Do marca 2018 roku Google i Fundacja Mozilla rozpoczęły testowanie wersji DNS przez HTTPS. W lutym 2020 Firefox domyślnie przeszedł na DNS przez HTTPS dla użytkowników w Stanach Zjednoczonych.

Alternatywą dla DoH jest protokół DNS over TLS (DoT), podobny standard szyfrowania zapytań DNS , różniący się jedynie metodami szyfrowania i dostarczania. Opierając się na prywatności i bezpieczeństwie, to, który protokół jest lepszy, jest przedmiotem kontrowersyjnej debaty; podczas gdy inni twierdzą, że zalety jednego z nich zależą od konkretnego przypadku użycia.

Szczegóły techniczne

DoH to proponowany standard, opublikowany jako RFC 8484 (październik 2018) przez IETF . Wykorzystuje HTTP/2 i HTTPS oraz obsługuje dane odpowiedzi DNS w formacie przewodowym , które są zwracane w istniejących odpowiedziach UDP w ładunku HTTPS z typem MIME application/dns-message . Jeśli używany jest protokół HTTP/2, serwer może również wykorzystywać serwer HTTP/2 push do wysyłania wartości, które według jego przewidywań mogą być przydatne dla klienta z wyprzedzeniem.

DoH jest w toku. Mimo że IETF opublikował RFC 8484 jako proponowany standard i firmy eksperymentują z nim, IETF musi jeszcze określić, jak najlepiej go wdrożyć. IETF ocenia szereg podejść do najlepszego sposobu wdrożenia DoH i chce założyć grupę roboczą Adaptive DNS Discovery (ADD) , która wykona tę pracę i wypracuje konsensus. Ponadto inne branżowe grupy robocze, takie jak Encrypted DNS Deployment Initiative , zostały utworzone w celu „zdefiniowania i przyjęcia technologii szyfrowania DNS w sposób zapewniający stałą wysoką wydajność, odporność, stabilność i bezpieczeństwo krytycznej przestrzeni nazw w Internecie i usług rozpoznawania nazw , a także zapewnienie nieprzerwanej nienaruszonej funkcjonalności zabezpieczeń, kontroli rodzicielskiej i innych usług zależnych od DNS”.

Ponieważ DoH nie można używać w pewnych okolicznościach, takich jak portale przechwytujące , przeglądarki internetowe, takie jak Firefox, można skonfigurować tak, aby wracały do ​​niezabezpieczonego DNS.

Nieświadomy DNS-over-HTTPS

Oblivious DoH to Internet Draft proponujący rozszerzenie protokołu, aby żaden pojedynczy serwer DoH nie był świadomy zarówno adresu IP klienta, jak i treści jego wiadomości. Oblivious DoH został pierwotnie opracowany jako Oblivious DNS (ODNS) przez naukowców z Princeton University i University of Chicago jako rozszerzenie niezaszyfrowanego DNS, zanim sam DoH został ujednolicony i szeroko wdrożony. Apple i Cloudflare następnie wdrożyły tę technologię w kontekście DoH, jako Oblivious DoH (ODoH).

W ODoH i ODNS wszystkie żądania i odpowiedzi DNS są kierowane przez serwer proxy, ukrywając adresy klientów przed resolwerem. Żądania są szyfrowane w celu ukrycia ich treści przed serwerem proxy i tylko program tłumaczący może odszyfrować żądanie. W ten sposób serwer proxy zna adres klienta, ale nie żądanie, a program tłumaczący zna żądanie, ale nie adres klienta, co uniemożliwia połączenie dwóch adresów klientów z zapytaniem, chyba że oba serwery są w zmowie.

Scenariusze wdrożenia

DoH jest używany do rekurencyjnego rozpoznawania nazw DNS przez resolwery DNS . Resolwery ( klienci DoH ) muszą mieć dostęp do serwera DoH obsługującego punkt końcowy zapytania.

Typowe są trzy scenariusze użycia:

  • Korzystanie z implementacji DoH w aplikacji: niektóre przeglądarki mają wbudowaną implementację DoH i mogą w ten sposób wykonywać zapytania z pominięciem funkcji DNS systemu operacyjnego. Wadą jest to, że aplikacja może nie informować użytkownika, jeśli pominie zapytania DoH, albo z powodu błędnej konfiguracji, albo braku obsługi DoH.
  • Instalowanie serwera proxy DoH na serwerze nazw w sieci lokalnej: W tym scenariuszu systemy klienckie nadal używają tradycyjnego (port 53 lub 853) DNS do wysyłania zapytań do serwera nazw w sieci lokalnej, który następnie gromadzi niezbędne odpowiedzi za pośrednictwem DoH, docierając do Serwery DoH w Internecie. Ta metoda jest niewidoczna dla użytkownika końcowego.
  • Instalowanie serwera proxy DoH w systemie lokalnym: W tym scenariuszu systemy operacyjne są skonfigurowane do wysyłania zapytań do lokalnie działającego serwera proxy DoH. W przeciwieństwie do wcześniej wspomnianej metody, proxy musi być zainstalowane na każdym systemie, który chce korzystać z DoH, co może wymagać dużego nakładu pracy w większych środowiskach.

Wsparcie oprogramowania

System operacyjny

Jabłko

Apple iOS 14 i macOS 11 wydane pod koniec 2020 roku obsługują zarówno protokoły DoH, jak i DoT .

Okna

W listopadzie 2019 roku Microsoft ogłosił plany wdrożenia obsługi szyfrowanych protokołów DNS w Microsoft Windows , począwszy od DoH. W maju 2020 r. firma Microsoft wydała Windows 10 Insider Preview Build 19628, który zawierał wstępną obsługę DoH wraz z instrukcjami, jak go włączyć za pomocą rejestru i interfejsu wiersza poleceń . Windows 10 Insider Preview Build 20185 dodał graficzny interfejs użytkownika do określania programu rozpoznawania nazw DoH. Obsługa DoH nie jest zawarta w systemie Windows 10 21H2.

Windows 11 obsługuje DoH.

Rekursywne programy rozpoznawania nazw DNS

Zobacz także: Comparison_of_DNS_server_software § Feature_matrix

WIĄZAĆ

BIND 9 , narzędzie do rozpoznawania nazw DNS typu open source firmy Internet Systems Consortium dodało natywną obsługę DoH w wersji 9.17.10.

PowerDNS

DNSdist, serwer proxy DNS/system równoważenia obciążenia typu open source firmy PowerDNS , dodał natywną obsługę DoH w wersji 1.4.0 w kwietniu 2019 r.

Nieoprawny

Unbound, narzędzie do rozpoznawania nazw DNS typu open source stworzone przez NLnet Labs , obsługuje DoH od wersji 1.12.0, wydanej w październiku 2020 r. Po raz pierwszy zaimplementowało obsługę szyfrowania DNS przy użyciu alternatywnego protokołu DoT znacznie wcześniej, począwszy od wersji 1.4.14, wydanej w Grudzień 2011. Unbound działa na większości systemów operacyjnych , w tym na dystrybucjach Linux , MacOS i Windows .

Przeglądarki internetowe

Zobacz też: Comparison_of_web_browsers § Protocol_support

Google Chrome

Usługa DNS przez HTTPS jest dostępna w przeglądarce Google Chrome 83 lub nowszej dla systemów Windows, Linux i macOS i można ją skonfigurować na stronie ustawień. Gdy ta opcja jest włączona, a system operacyjny jest skonfigurowany z obsługiwanym serwerem DNS, Chrome zaktualizuje zapytania DNS, aby były szyfrowane. Możliwe jest również ręczne określenie wstępnie ustawionego lub niestandardowego serwera DoH do użycia w interfejsie użytkownika.

We wrześniu 2020 r. Google Chrome na Androida rozpoczął etapowe wdrażanie DNS przez HTTPS. Użytkownicy mogą skonfigurować niestandardowy program rozpoznawania nazw lub wyłączyć DNS przez HTTPS w ustawieniach.

Google Chrome ma wstępnie skonfigurowanych 5 dostawców DNS przez HTTPS, którymi są Google Public DNS , Cloudflare 1.1.1.1 , Quad 9.9.9.9 , NextDNS i CleanBrowsing .

Microsoft Edge

Microsoft Edge obsługuje DNS przez HTTPS, konfigurowalny na stronie ustawień. Po włączeniu, a system operacyjny jest skonfigurowany z obsługiwanym serwerem DNS, Edge zaktualizuje zapytania DNS, aby były szyfrowane. Możliwe jest również ręczne określenie wstępnie ustawionego lub niestandardowego serwera DoH do użycia w interfejsie użytkownika.

Mozilla Firefox

Przykład użycia DNS przez HTTPS w przeglądarce Firefox 89

W 2018 roku Mozilla nawiązała współpracę z Cloudflare , aby zapewnić DoH dla użytkowników przeglądarki Firefox , którzy ją umożliwiają (znaną jako Trusted Recursive Resolver). 25 lutego 2020 r. Firefox zaczął włączać DNS przez HTTPS dla wszystkich użytkowników w USA, domyślnie polegając na tłumaczu Cloudflare.

Opera

Opera obsługuje DoH, konfigurowalny na stronie ustawień przeglądarki. Domyślnie zapytania DNS są wysyłane do serwerów Cloudflare.

Publiczne serwery DNS

Główny artykuł: Publiczny rekurencyjny serwer nazw

Implementacje serwera DNS przez HTTPS są już dostępne bezpłatnie przez niektórych publicznych dostawców DNS.

Uwagi dotyczące implementacji

Społeczność internetowa wciąż rozwiązuje wiele problemów związanych z prawidłowym wdrażaniem DoH, w tym między innymi:

  • Powstrzymywanie stron trzecich przed analizowaniem ruchu DNS ze względów bezpieczeństwa
  • Zakłócenie kontroli rodzicielskiej i filtrów treści na poziomie DNS
  • Split DNS w sieciach korporacyjnych [ potrzebne źródło ]
  • Lokalizacja CDN [ potrzebne źródło ]

Analiza ruchu DNS dla celów bezpieczeństwa

DoH może utrudniać analizę i monitorowanie ruchu DNS do celów cyberbezpieczeństwa; Robak DDoS z 2019 r., Godlua, wykorzystywał DoH do maskowania połączeń ze swoim serwerem dowodzenia i kontroli.

W styczniu 2021 roku NSA ostrzegła przedsiębiorstwa przed używaniem zewnętrznych programów rozpoznawania nazw DoH, ponieważ uniemożliwiają one filtrowanie, inspekcję i audyt zapytań DNS. Zamiast tego NSA zaleca skonfigurowanie programów rozpoznawania nazw DoH należących do przedsiębiorstwa i blokowanie wszystkich znanych zewnętrznych programów rozpoznawania nazw DoH.

Zakłócenie filtrów treści

DoH został użyty do ominięcia kontroli rodzicielskiej , która działa na (nieszyfrowanym) standardowym poziomie DNS; Circle, router kontroli rodzicielskiej, który polega na zapytaniach DNS w celu sprawdzenia domen na liście zablokowanych, domyślnie blokuje DoH z tego powodu. Istnieją jednak dostawcy DNS, którzy oferują filtrowanie i kontrolę rodzicielską wraz z obsługą DoH przez obsługę serwerów DoH.

Internet Service Providers Association (ISPA) — stowarzyszenie branżowe reprezentujące brytyjskich dostawców usług internetowych — oraz brytyjska organizacja Internet Watch Foundation skrytykowały Mozillę , twórcę przeglądarki internetowej Firefox , za wspieranie DoH, ponieważ uważają, że podważy to programy blokujące sieć w kraju, w tym domyślne filtrowanie treści dla dorosłych przez dostawcę usług internetowych oraz obowiązkowe filtrowanie naruszeń praw autorskich nakazane przez sąd. ISPA nominowała Mozillę do nagrody „Internetowego złoczyńcy” za rok 2019 (obok dyrektywy UE w sprawie praw autorskich na jednolitym rynku cyfrowym i Donalda Trumpa ), „za proponowane podejście do wprowadzenia DNS-over-HTTPS w taki sposób, aby ominąć Obowiązki filtrowania w Wielkiej Brytanii i kontrola rodzicielska, podważające standardy bezpieczeństwa w Internecie w Wielkiej Brytanii”. Mozilla odpowiedziała na zarzuty ISPA, argumentując, że nie zapobiegnie to filtrowaniu i że byli „zaskoczeni i rozczarowani, że stowarzyszenie branżowe dostawców usług internetowych zdecydowało się fałszywie przedstawić ulepszenie istniejącej od dziesięcioleci infrastruktury internetowej”. W odpowiedzi na krytykę ISPA przeprosił i wycofał nominację. Mozilla stwierdziła następnie, że DoH nie będzie domyślnie używana na rynku brytyjskim do czasu dalszych dyskusji z odpowiednimi zainteresowanymi stronami, ale stwierdziła, że ​​„zaoferuje obywatelom Wielkiej Brytanii realne korzyści w zakresie bezpieczeństwa”.

Zobacz też

Linki zewnętrzne

Pobrano z „ https://en.wikipedia.org/w/index.php?title=DNS_over_HTTPS&oldid=1142171173