Le 25 février, Mozilla a fait du DNS sur HTTPS (DoH) le protocole par défaut dans son navigateur pour tous les utilisateurs américains. En général, la communauté informatique a accueilli positivement cette décision, notant que le chiffrement du trafic DNS améliorera la sécurité Internet. Mais il y avait aussi ceux qui pensent différemment, par exemple, les représentants du registraire Internet RIPE.Dans l'article d'aujourd'hui, nous analysons les principales opinions.
/ Unsplash / MuukiiPetit programme éducatif
Avant de passer à un examen des opinions, nous discutons brièvement du fonctionnement du DoH et des raisons pour lesquelles sa mise en œuvre suscite un vif débat dans la communauté informatique.L'échange de données entre le navigateur et le serveur DNS se fait en clair. Si vous le souhaitez, un attaquant peut écouter ce trafic et retracer les ressources que l'utilisateur visite. Pour résoudre le problème, le protocole DoH encapsule une demande d'adresse IP dans le trafic HTTPS. Ensuite, il va sur un serveur spécial, qui le traite à l'aide de l'API et génère une réponse ( p. 8 )::status = 200
content-type = application/dns-message
content-length = 61
cache-control = max-age=3709
<61 bytes represented by the following hex encoding>
00 00 81 80 00 01 00 01 00 00 00 00 03 77 77 77
07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 1c 00
01 c0 0c 00 1c 00 01 00 00 0e 7d 00 10 20 01 0d
b8 ab cd 00 12 00 01 00 02 00 03 00 04
Ainsi, le trafic DNS est caché dans le trafic HTTPS et les demandes adressées au système de noms de domaine restent anonymes.Qui soutient le DoH
Pour soutenir le DoH, les fournisseurs de cloud occidentaux, les fournisseurs de télécommunications et Internet s'expriment. Beaucoup d'entre eux offrent déjà des services DNS basés sur le nouveau protocole - une liste complète est sur GitHub . Par exemple, British Telecommunications affirme que masquer les requêtes DNS dans HTTPS augmentera la sécurité des utilisateurs britanniques.Quelques documents de notre blog sur Habré:
Il y a un an, DNS-over-HTTPS a commencé à tester sur Google. Les ingénieurs ont ajouté la possibilité d'activer DoH dans Chrome 78. Selon les développeurs, l'initiative protégera les utilisateurs contre l'usurpation DNS et le pharming , lorsque les pirates redirigent la victime vers une fausse adresse IP.
Au début de l'article, nous avons mentionné un autre développeur de navigateur, Mozilla. Cette semaine, la société a activé DNS sur HTTPS pour tous les utilisateurs américains. Désormais, lors de l'installation du navigateur, le nouveau protocole est activé par défaut. Ceux qui ont déjà Firefox prévoient de migrer vers DoH dans les prochaines semaines. D'autres pays contourneront la nouvelle initiative , mais ceux qui le souhaitent peuvent activer eux-mêmes le transfert des requêtes DNS via HTTPS.Arguments contre
Ceux qui s'opposent à la mise en œuvre du DoH disent que cela réduira la sécurité des connexions réseau. Par exemple, Paul Vixie, l'un des auteurs du système de noms de domaine, affirme qu'il deviendra plus difficile pour les administrateurs système de bloquer les sites potentiellement malveillants sur les réseaux d'entreprise et privés.Des représentants du registraire Internet RIPE, responsables des régions Europe et Moyen-Orient, se sont également opposés au nouveau protocole. Ils ont attiré l' attention sur les problèmes de sécurité des données personnelles. DoH vous permet de transmettre des informations sur les ressources visitées sous forme cryptée, mais les journaux correspondants restent toujours sur le serveur responsable du traitement des requêtes DNS à l'aide de l'API. Cela pose la question de la confiance dans le développeur du navigateur.Bert Hubert, un employé de RIPE, qui a participé au développement de PowerDNS , a déclaré que l'approche DNS classique sur UDP offre un grand anonymat car elle mélange toutes les demandes au système de noms de domaine provenant du même réseau (domestique ou public). Dans ce cas, il est plus difficile de faire correspondre des requêtes individuelles avec des ordinateurs spécifiques.
/ Unsplash / chrispanas Certains experts attribuent également des carences en DoHl'impossibilité de configurer le contrôle parental dans les navigateurs et les difficultés d'optimisation du trafic dans les réseaux CDN. Dans ce dernier cas, le délai peut augmenter avant le début du transfert de contenu, car le résolveur recherchera l'adresse de l'hôte le plus proche du serveur DNS sur HTTPS. Il convient de noter ici qu'un certain nombre de sociétés informatiques travaillent déjà pour résoudre ces difficultés. Par exemple, Mozilla a également dit que Firefox sera automatiquement désactiver DoH si les ensembles d'utilisateurs des règles de contrôle parental. Et la société prévoit de continuer à travailler sur des outils plus avancés à l'avenir.Ce que nous écrivons sur le blog d'entreprise de VAS Experts: