El 25 de febrero, Mozilla convirtió DNS-over-HTTPS (DoH) en el protocolo predeterminado en su navegador para todos los usuarios de EE. UU. En general, la comunidad de TI acogió positivamente esta decisión y señaló que cifrar el tráfico DNS aumentará la seguridad de Internet. Pero también hubo quienes piensan de manera diferente, por ejemplo, representantes del registrador de Internet RIPE.En el artículo de hoy, analizamos las opiniones principales.
/ Unsplash / MuukiiPequeño programa educativo
Antes de pasar a una revisión de opiniones, discutimos brevemente cómo funciona DoH y por qué su implementación causa un acalorado debate en la comunidad de TI.El intercambio de datos entre el navegador y el servidor DNS se realiza de forma clara. Si lo desea, un atacante puede espiar este tráfico y rastrear qué recursos está visitando el usuario. Para resolver el problema, el protocolo DoH encapsula una solicitud de dirección IP en el tráfico HTTPS. Luego va a un servidor especial, que lo procesa utilizando la API y genera una respuesta ( p. 8 )::status = 200
content-type = application/dns-message
content-length = 61
cache-control = max-age=3709
<61 bytes represented by the following hex encoding>
00 00 81 80 00 01 00 01 00 00 00 00 03 77 77 77
07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 1c 00
01 c0 0c 00 1c 00 01 00 00 0e 7d 00 10 20 01 0d
b8 ab cd 00 12 00 01 00 02 00 03 00 04
Por lo tanto, el tráfico DNS está oculto en el tráfico HTTPS y las solicitudes al sistema de nombres de dominio permanecen anónimas.Quien apoya DoH
En apoyo de DoH, los proveedores occidentales de la nube, las telecomunicaciones y los proveedores de Internet están hablando. Muchos de ellos ya ofrecen servicios de DNS basados en el nuevo protocolo: hay una lista completa en GitHub . Por ejemplo, British Telecommunications dice que ocultar las consultas de DNS en HTTPS aumentará la seguridad de los usuarios del Reino Unido.Un par de materiales de nuestro blog sobre Habré:
Hace un año, DNS-over-HTTPS comenzó a probar en Google. Los ingenieros han agregado la capacidad de activar DoH en Chrome 78. Según los desarrolladores, la iniciativa protegerá a los usuarios de la falsificación y el uso indebido de DNS , cuando los piratas informáticos redirigen a la víctima a una dirección IP falsa.
Al comienzo del artículo, mencionamos a otro desarrollador de navegadores, Mozilla. Esta semana, la compañía ha activado DNS sobre HTTPS para todos los usuarios de EE. UU. Ahora, al instalar el navegador, el nuevo protocolo se activa por defecto. Aquellos que ya tienen Firefox planean migrar a DoH en las próximas semanas. Otros países eludirán la nueva iniciativa , pero aquellos que lo deseen pueden activar la transferencia de consultas DNS a través de HTTPS por su cuenta.Argumentos en contra
Quienes se oponen a la implementación de DoH dicen que reducirá la seguridad de las conexiones de red. Por ejemplo, Paul Vixie, uno de los autores del sistema de nombres de dominio, afirma que será más difícil para los administradores del sistema bloquear sitios potencialmente maliciosos en redes corporativas y privadas.Representantes del registrador de Internet RIPE, responsable de las regiones de Europa y Medio Oriente, también se opusieron al nuevo protocolo. Ellos llamaron la atención sobre los problemas de seguridad de los datos personales. DoH le permite transmitir información sobre los recursos visitados en forma cifrada, pero los registros correspondientes aún permanecen en el servidor responsable de procesar las consultas DNS utilizando la API. Esto plantea la cuestión de la confianza en el desarrollador del navegador.El empleado de RIPE, Bert Hubert, que participó en el desarrollo de PowerDNS , dice que el enfoque clásico de DNS sobre UDP proporciona un gran anonimato porque combina todas las solicitudes al sistema de nombres de dominio desde la misma red (doméstica o pública). En este caso, emparejar consultas individuales con computadoras específicas se vuelve más difícil.
/ Unsplash / chrispanas Algunos expertos también atribuyen deficiencias de DoHla incapacidad de configurar los controles parentales en los navegadores y las dificultades para optimizar el tráfico en las redes CDN. En el último caso, la demora puede aumentar antes de que comience la transferencia de contenido, ya que el solucionador buscará la dirección del host más cercano al servidor DNS sobre HTTPS. Vale la pena señalar aquí que varias empresas de TI ya están trabajando para resolver estas dificultades. Por ejemplo, Mozilla Firefox también dijo que se desactivará automáticamente el Departamento de Salud si el usuario establece las reglas de control de los padres. Y la compañía planea continuar trabajando en herramientas más avanzadas en el futuro.Sobre lo que escribimos en el blog corporativo de VAS Experts: