2月25日,Mozilla将HTTP-over-HTTPS(DoH)设置为浏览器中所有美国用户的默认协议。总的来说,IT界对这一决定表示欢迎,并指出加密DNS流量将提高Internet安全性。但是,也有一些人的想法有所不同,例如RIPE互联网注册商的代表。在今天的文章中,我们分析了主要观点。
/不溅水/ Muukii小型教育计划
在继续对观点进行审查之前,我们简要讨论DoH的工作原理以及为什么实施DoH会引起IT界的激烈争论。浏览器和DNS服务器之间的数据交换是显而易见的。如果需要,攻击者可以窃听此流量并跟踪用户正在访问哪些资源。为了解决该问题,DoH协议在HTTPS流量中封装了IP地址请求。然后,它进入一个特殊的服务器,该服务器使用API对其进行处理并生成响应(第8页)::status = 200
content-type = application/dns-message
content-length = 61
cache-control = max-age=3709
<61 bytes represented by the following hex encoding>
00 00 81 80 00 01 00 01 00 00 00 00 03 77 77 77
07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 1c 00
01 c0 0c 00 1c 00 01 00 00 0e 7d 00 10 20 01 0d
b8 ab cd 00 12 00 01 00 02 00 03 00 04
因此,DNS流量隐藏在HTTPS流量中,并且对域名系统的请求保持匿名。谁支持卫生部
为了支持卫生部,西方云提供商,电信和互联网提供商正在大声疾呼。他们中的许多人已经基于新协议提供DNS服务-完整列表在GitHub上。例如,英国电信说在HTTPS中隐藏DNS查询将提高英国用户的安全性。我们在Habré博客上的一些资料:
一年前,基于HTTPS的DNS 开始在Google上进行测试。工程师们已经加入到激活卫生部在Chrome 78,根据能力的开发商,该倡议将保护用户免受DNS欺骗和网址嫁接时,黑客重定向受害者虚假的IP地址。
在本文的开头,我们提到了另一个浏览器开发人员Mozilla。本周,该公司为所有美国用户启用了HTTP-over-HTTPS DNS。现在,在安装浏览器时,默认情况下会激活新协议。那些已经拥有Firefox的人计划在未来几周内迁移到DoH。其他国家/地区将绕过新计划,但希望的国家/地区可以自行打开通过HTTPS进行DNS查询的传输。反对
那些反对实施DoH的人说,这样做会降低网络连接的安全性。例如,域名系统的作者之一Paul Vixie 声称,系统管理员要阻止公司和专用网络上的潜在恶意站点将变得更加困难。负责欧洲和中东地区的RIPE互联网注册商的代表也反对新协议。他们提请注意个人数据安全性问题。 DoH允许您以加密形式传输有关已访问资源的信息,但是相应的日志仍保留在负责使用API处理DNS查询的服务器上。这就提出了对浏览器开发人员信任的问题。RIPE员工Bert Hubert曾参与PowerDNS的开发,他说经典的UDP over UDP方法提供了很好的匿名性,因为它混合了来自同一网络(家庭或公共)对域名系统的所有请求。在这种情况下,将单个查询与特定计算机进行匹配变得更加困难。
/不飞溅/ 克里斯·帕纳斯(Chrispanas)一些专家也将DoH的缺陷归因于无法在浏览器中配置家长控制,以及难以优化CDN网络中的流量。在后一种情况下,延迟可能会在内容传输开始之前增加,因为解析器将查找最接近HTTP-over-HTTPS服务器的主机的地址。在这里值得注意的是,许多IT公司已经在努力解决这些困难。例如,Mozilla还表示,如果用户设置了家长控制规则,Firefox 将自动禁用DoH。公司计划将来继续开发更高级的工具。我们在VAS Experts公司博客中写的内容: