Pada 25 Februari, Mozilla menjadikan DNS-over-HTTPS (DoH) protokol default di perambannya untuk semua pengguna AS. Secara umum, komunitas TI menyambut keputusan ini secara positif, mencatat bahwa mengenkripsi lalu lintas DNS akan meningkatkan keamanan Internet. Tetapi ada juga orang-orang yang berpikir secara berbeda, misalnya, perwakilan dari pendaftar Internet RIPE.Dalam artikel hari ini, kami menganalisis pendapat utama.
/ Unsplash / MuukiiProgram pendidikan kecil
Sebelum beralih ke tinjauan pendapat, kami membahas secara singkat bagaimana DoH bekerja dan mengapa penerapannya menyebabkan perdebatan sengit di komunitas TI.Pertukaran data antara browser dan server DNS terjadi di hapus. Jika diinginkan, penyerang dapat menguping lalu lintas ini dan melacak sumber daya apa yang dikunjungi pengguna. Untuk mengatasi masalah tersebut, protokol DoH merangkum permintaan alamat IP dalam lalu lintas HTTPS. Kemudian ia pergi ke server khusus, yang memprosesnya menggunakan API dan menghasilkan respons ( hal. 8 )::status = 200
content-type = application/dns-message
content-length = 61
cache-control = max-age=3709
<61 bytes represented by the following hex encoding>
00 00 81 80 00 01 00 01 00 00 00 00 03 77 77 77
07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 1c 00
01 c0 0c 00 1c 00 01 00 00 0e 7d 00 10 20 01 0d
b8 ab cd 00 12 00 01 00 02 00 03 00 04
Dengan demikian, lalu lintas DNS disembunyikan dalam lalu lintas HTTPS, dan permintaan ke sistem nama domain tetap anonim.Siapa yang mendukung DoH
Untuk mendukung DoH, penyedia cloud Barat, telekomunikasi dan penyedia Internet berbicara keras. Banyak dari mereka sudah menawarkan layanan DNS berdasarkan protokol baru - daftar lengkap ada di GitHub . Misalnya, British Telecommunications mengatakan menyembunyikan permintaan DNS di HTTPS akan meningkatkan keamanan pengguna Inggris.Beberapa bahan dari blog kami di Habré:
Setahun yang lalu, DNS-over-HTTPS mulai menguji di Google. Insinyur telah menambahkan kemampuan untuk mengaktifkan Doh di Chrome 78. Menurut kepada pengembang, inisiatif akan melindungi pengguna dari spoofing DNS dan pharming , ketika hacker mengarahkan korban ke alamat IP palsu.
Di awal artikel, kami menyebutkan pengembang browser lain, Mozilla. Minggu ini, perusahaan telah mengaktifkan DNS-over-HTTPS untuk semua pengguna AS. Sekarang, ketika menginstal browser, protokol baru diaktifkan secara default. Mereka yang sudah memiliki Firefox berencana untuk bermigrasi ke DoH dalam beberapa minggu mendatang. Negara-negara lain akan mem-bypass inisiatif baru , tetapi mereka yang ingin dapat mengaktifkan transfer permintaan DNS atas HTTPS sendiri.Argumen menentang
Mereka yang menentang implementasi DoH mengatakan bahwa itu akan mengurangi keamanan koneksi jaringan. Misalnya, Paul Vixie, salah satu penulis sistem nama domain, mengklaim bahwa akan semakin sulit bagi administrator sistem untuk memblokir situs yang berpotensi berbahaya di jaringan perusahaan dan swasta.Perwakilan dari pendaftar Internet RIPE, yang bertanggung jawab untuk kawasan Eropa dan Timur Tengah, juga menentang protokol baru tersebut. Mereka menarik perhatian pada masalah keamanan data pribadi. DoH memungkinkan Anda untuk mengirimkan informasi tentang sumber daya yang dikunjungi dalam bentuk terenkripsi, tetapi log yang sesuai masih ada di server yang bertanggung jawab untuk memproses permintaan DNS menggunakan API. Ini menimbulkan pertanyaan tentang kepercayaan pada pengembang browser.Karyawan RIPE Bert Hubert, yang berpartisipasi dalam pengembangan PowerDNS , mengatakan pendekatan klasik DNS-over-UDP memberikan anonimitas yang hebat karena menggabungkan semua permintaan ke sistem nama domain dari jaringan yang sama (rumah atau publik). Dalam hal ini, mencocokkan permintaan individu dengan komputer tertentu menjadi lebih sulit.
/ Unsplash / chrispanas Beberapa ahli juga atribut kekurangan DoHketidakmampuan untuk mengkonfigurasi kontrol orangtua di browser dan kesulitan dengan mengoptimalkan lalu lintas di jaringan CDN. Dalam kasus terakhir, penundaan dapat meningkat sebelum transfer konten dimulai, karena resolver akan mencari alamat host yang paling dekat dengan server DNS-over-HTTPS. Perlu dicatat di sini bahwa sejumlah perusahaan IT sudah bekerja untuk menyelesaikan kesulitan-kesulitan ini. Sebagai contoh, Mozilla juga mengatakan bahwa Firefox akan secara otomatis menonaktifkan DoH jika pengguna membuat aturan kontrol orang tua. Dan perusahaan berencana untuk terus bekerja pada alat yang lebih maju di masa depan.Apa yang kami tulis di blog korporat VAS Experts: