في 25 فبراير ، جعلت Mozilla DNS-over-HTTPS (DoH) البروتوكول الافتراضي في متصفحها لجميع مستخدمي الولايات المتحدة. بشكل عام ، رحب مجتمع تكنولوجيا المعلومات بهذا القرار بشكل إيجابي ، مشيرًا إلى أن تشفير حركة مرور DNS سيزيد من أمن الإنترنت. ولكن كان هناك أيضًا أولئك الذين يفكرون بشكل مختلف ، على سبيل المثال ، ممثلو مسجل الإنترنت RIPE.في مقال اليوم ، نقوم بتحليل الآراء الرئيسية.
/ Unsplash / Muukiiبرنامج تعليمي صغير
قبل الانتقال إلى مراجعة الآراء ، نناقش بإيجاز كيف تعمل DoH ولماذا يتسبب تنفيذها في نقاش ساخن في مجتمع تكنولوجيا المعلومات.يحدث تبادل البيانات بين المتصفح وخادم DNS في المسح. عند الرغبة ، يمكن للمهاجم التنصت على حركة المرور هذه وتتبع الموارد التي يزورها المستخدم. لحل المشكلة ، يقوم بروتوكول DoH بتغليف طلب عنوان IP في حركة مرور HTTPS. ثم تذهب إلى خادم خاص ، يعالجها باستخدام واجهة برمجة التطبيقات ويولد استجابة ( ص 8 )::status = 200
content-type = application/dns-message
content-length = 61
cache-control = max-age=3709
<61 bytes represented by the following hex encoding>
00 00 81 80 00 01 00 01 00 00 00 00 03 77 77 77
07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 1c 00
01 c0 0c 00 1c 00 01 00 00 0e 7d 00 10 20 01 0d
b8 ab cd 00 12 00 01 00 02 00 03 00 04
وبالتالي ، يتم إخفاء حركة مرور DNS في حركة مرور HTTPS ، وتظل الطلبات المقدمة إلى نظام اسم المجال مجهولة.من يدعم DoH
لدعم DoH ، يتكلم مزوّدو الخدمات السحابية الغربيون ومقدمو الاتصالات والإنترنت علانية. يقدم العديد منهم بالفعل خدمات DNS استنادًا إلى البروتوكول الجديد - قائمة كاملة على GitHub . على سبيل المثال ، تقول شركة الاتصالات البريطانية إن إخفاء استعلامات DNS في HTTPS سيزيد من أمن المستخدمين في المملكة المتحدة.بضع مواد من مدونتنا على حبري:
قبل عام ، بدأ اختبار DNS-over-HTTPS على Google. وأضافت المهندسين القدرة على تفعيل دوه في كروم 78. ووفقا لل مطورين، والمبادرة حماية المستخدمين من خداع DNS و تزييف ، عندما إعادة توجيه قراصنة الضحية إلى عنوان IP كاذبة.
في بداية المقال ، ذكرنا مطور متصفح آخر ، Mozilla. هذا الأسبوع ، قامت الشركة بتشغيل DNS-over-HTTPS لجميع مستخدمي الولايات المتحدة. الآن ، عند تثبيت المتصفح ، يتم تنشيط البروتوكول الجديد افتراضيًا. أولئك الذين لديهم فايرفوكس بالفعل يخططون للهجرة إلى DoH في الأسابيع القادمة. ستتجاوز دول أخرى المبادرة الجديدة ، ولكن أولئك الذين يرغبون في ذلك يمكنهم تشغيل نقل استعلامات DNS عبر HTTPS بمفردهم.مناقشات ضد
يقول أولئك الذين يعارضون تطبيق DoH أنه سيقلل من أمان اتصالات الشبكة. على سبيل المثال، باول فكسي، أحد واضعي نظام أسماء النطاقات، مطالبات أنه سيصبح أكثر صعوبة لمسؤولي النظام لمنع المواقع المحتمل أن تكون ضارة على شبكات الشركات والقطاع الخاص.كما عارض ممثلو مسجل الإنترنت RIPE ، المسؤول عن مناطق أوروبا والشرق الأوسط ، البروتوكول الجديد. أنها لفت الانتباه إلى مشاكل أمن البيانات الشخصية. تسمح لك DoH بإرسال معلومات حول الموارد التي تمت زيارتها في نموذج مشفر ، ولكن تظل السجلات المقابلة على الخادم المسؤول عن معالجة استعلامات DNS باستخدام API. هذا يثير مسألة الثقة في مطور المتصفح.يقول موظف RIPE ، بيرت هوبرت ، الذي شارك في تطوير PowerDNS ، إن نهج DNS-over-UDP الكلاسيكي يوفر إخفاء كبير للهوية لأنه يمزج جميع الطلبات إلى نظام اسم النطاق من نفس الشبكة (المنزل أو العام). في هذه الحالة ، تصبح مطابقة الاستعلامات الفردية مع أجهزة كمبيوتر معينة أكثر صعوبة.
/ Unsplash / كريسباناس بعض الخبراء أيضا يعزو دوه القصورعدم القدرة على تكوين الرقابة الأبوية في المتصفحات وصعوبات تحسين حركة المرور في شبكات CDN. في الحالة الأخيرة ، قد يزيد التأخير قبل بدء نقل المحتوى ، حيث سيبحث المحلل عن عنوان المضيف الأقرب إلى خادم DNS-over-HTTPS. وتجدر الإشارة هنا إلى أن عددًا من شركات تكنولوجيا المعلومات تعمل بالفعل على حل هذه الصعوبات. على سبيل المثال، قال موزيلا أيضا أن فايرفوكس سوف تعطيل تلقائيا دوه إذا كانت مجموعات المستخدم حتى قواعد الرقابة الأبوية. وتخطط الشركة لمواصلة العمل على أدوات أكثر تقدمًا في المستقبل.ما نكتب عنه في مدونة الشركات VAS Experts: