Am 25. Februar hat Mozilla DNS-over-HTTPS (DoH) zum Standardprotokoll in seinem Browser für alle US-Benutzer gemacht. Im Allgemeinen begrüßte die IT-Community diese Entscheidung positiv und stellte fest, dass die Verschlüsselung des DNS-Verkehrs die Internetsicherheit erhöht. Es gab aber auch solche, die anders denken, zum Beispiel Vertreter des RIPE-Internet-Registrars.Im heutigen Artikel analysieren wir die wichtigsten Meinungen.
/ Unsplash / MuukiiKleines Bildungsprogramm
Bevor wir zu einer Überprüfung der Meinungen übergehen, diskutieren wir kurz, wie DoH funktioniert und warum seine Implementierung in der IT-Community zu heftigen Debatten führt.Der Datenaustausch zwischen dem Browser und dem DNS-Server erfolgt im Klartext. Auf Wunsch kann ein Angreifer diesen Datenverkehr abhören und nachverfolgen, welche Ressourcen der Benutzer besucht. Um das Problem zu lösen, kapselt das DoH-Protokoll eine IP-Adressanforderung im HTTPS-Verkehr. Dann geht es zu einem speziellen Server, der es mithilfe der API verarbeitet und eine Antwort generiert ( S. 8 )::status = 200
content-type = application/dns-message
content-length = 61
cache-control = max-age=3709
<61 bytes represented by the following hex encoding>
00 00 81 80 00 01 00 01 00 00 00 00 03 77 77 77
07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 1c 00
01 c0 0c 00 1c 00 01 00 00 0e 7d 00 10 20 01 0d
b8 ab cd 00 12 00 01 00 02 00 03 00 04
Daher ist der DNS-Verkehr im HTTPS-Verkehr verborgen, und Anforderungen an das Domain Name System bleiben anonym.Wer unterstützt DoH
Zur Unterstützung von DoH sprechen sich westliche Cloud-Anbieter, Telekommunikations- und Internetanbieter aus. Viele von ihnen bieten bereits DNS-Dienste an, die auf dem neuen Protokoll basieren - eine vollständige Liste finden Sie auf GitHub . Zum Beispiel British Telecommunications sagen Versteck DNS - Abfragen in HTTPS werden die Sicherheit der Nutzer in Großbritannien zu erhöhen.Ein paar Materialien aus unserem Blog über Habré:
Vor einem Jahr begann DNS-over-HTTPS mit Tests bei Google. Ingenieure haben die Möglichkeit hinzugefügt, DoH in Chrome 78 zu aktivieren. Laut den Entwicklern schützt die Initiative Benutzer vor DNS-Spoofing und Pharming , wenn Hacker das Opfer an eine falsche IP-Adresse weiterleiten .
Am Anfang des Artikels haben wir einen anderen Browser-Entwickler erwähnt, Mozilla. In dieser Woche hat das Unternehmen eingeschaltet DNS-over-HTTPS für alle US - Nutzer. Bei der Installation des Browsers wird das neue Protokoll standardmäßig aktiviert. Diejenigen, die bereits über Firefox verfügen, planen, in den kommenden Wochen auf DoH zu migrieren. Andere Länder werden die neue Initiative umgehen , aber diejenigen, die dies wünschen, können die Übertragung von DNS-Abfragen über HTTPS selbst aktivieren.Argumente gegen
Diejenigen, die sich gegen die Implementierung von DoH aussprechen, sagen, dass dies die Sicherheit von Netzwerkverbindungen verringern wird. Zum Beispiel behauptet Paul Vixie, einer der Autoren des Domain Name Systems, dass es für Systemadministratoren schwieriger wird, potenziell schädliche Websites in Unternehmens- und privaten Netzwerken zu blockieren.Vertreter des für die Regionen Europa und Mittlerer Osten zuständigen RIPE-Internet-Registrars lehnten das neue Protokoll ebenfalls ab. Sie machten auf die Probleme der Sicherheit personenbezogener Daten aufmerksam. Mit DoH können Sie Informationen zu den besuchten Ressourcen in verschlüsselter Form übertragen. Die entsprechenden Protokolle verbleiben jedoch auf dem Server, der für die Verarbeitung von DNS-Abfragen mithilfe der API verantwortlich ist. Dies wirft die Frage nach dem Vertrauen in den Browserentwickler auf.Der RIPE-Mitarbeiter Bert Hubert, der an der Entwicklung von PowerDNS beteiligt war , sagt, dass der klassische DNS-over-UDP-Ansatz eine große Anonymität bietet, da alle Anforderungen an das Domain-Name-System aus demselben Netzwerk (zu Hause oder öffentlich) gemischt werden. In diesem Fall wird es schwieriger, einzelne Abfragen mit bestimmten Computern abzugleichen.
/ Unsplash / chrisPanas auch Einige Experten Attribut DoH Mängeldie Unfähigkeit, die Kindersicherung in Browsern zu konfigurieren, und Schwierigkeiten bei der Optimierung des Datenverkehrs in CDN-Netzwerken. Im letzteren Fall kann sich die Verzögerung erhöhen, bevor die Inhaltsübertragung beginnt, da der Resolver nach der Hostadresse sucht, die dem DNS-over-HTTPS-Server am nächsten liegt. Hier ist anzumerken, dass bereits einige IT-Unternehmen daran arbeiten, diese Schwierigkeiten zu lösen. Zum Beispiel Mozilla auch gesagt , dass Firefox wird automatisch deaktivieren DoH , wenn die Benutzersätze auf dem elterlichen Kontrolle Regeln. Und das Unternehmen plant, auch in Zukunft an fortschrittlicheren Tools zu arbeiten.Worüber wir im Unternehmensblog von VAS Experts schreiben: