DNS через HTTPS

редактировать
Протокол для выполнения DNS-запросов через HTTPS
DNS через HTTPS
Протокол связи
Цельинкапсулировать DNS в HTTPS для обеспечения конфиденциальности и безопасности
Представленооктябрь 2018 г.; 2 года назад (2018-10)
уровень OSI Application Layer
RFC (s) RFC 8484

DNS over HTTPS (DoH ) - это протокол для выполнения удаленного разрешения системы доменных имен (DNS) по протоколу HTTPS. Цель метода - повысить конфиденциальность и безопасность пользователей за счет предотвращения перехвата и манипулирования данными DNS с помощью атак типа «человек посередине» с использованием протокола HTTPS для шифрования данных. между клиентом DoH и преобразователем DNS на основе DoH. К марту 2018 года Google и Mozilla Foundation начали тестирование версий DNS через HTTPS. В феврале 2020 года Firefox переключился на DNS через HTTPS по умолчанию для пользователей в США.

Помимо повышения безопасности, еще одной целью DNS over HTTPS является повышение производительности: тестирование Интернет-провайдер DNS-преобразователи показали, что многие из них часто имеют медленное время отклика, проблема, которая усугубляется необходимостью разрешать множество имен хостов при загрузке одной веб-страницы.

Содержание

  • 1 Технические подробности
  • 2 Сценарии развертывания
  • 3 Поддержка программного обеспечения
    • 3.1 Операционные системы
      • 3.1.1 Apple
      • 3.1.2 Windows
    • 3.2 Рекурсивные преобразователи DNS
      • 3.2.1 Без привязки
    • 3.3 Веб-браузеры
      • 3.3.1 Google Chrome
      • 3.3.2 Microsoft Edge
      • 3.3.3 Mozilla Firefox
      • 3.3.4 Opera
    • 3.4 Общедоступные DNS-серверы
  • 4 Критические замечания и рекомендации по реализации
  • 5 См. Также
  • 6 Ссылки
  • 7 Внешние ссылки

Технические детали

DoH - это предлагаемый стандарт, опубликованный как RFC 8484 (октябрь 2018 г.) 6>IETF. Он использует HTTP / 2 и HTTPS и поддерживает данные ответа DNS в проводном формате, возвращенные в существующих ответах UDP, в полезных данных HTTPS с типом MIME. приложение / dns-сообщение. Если используется HTTP / 2, сервер также может использовать HTTP / 2 server push для отправки значений, которые, как он ожидает, клиент может заранее найти полезными.

DoH находится в стадии разработки. Несмотря на то, что IETF опубликовал RFC 8484 в качестве предлагаемого стандарта, и компании экспериментируют с ним, IETF еще предстоит определить, как его лучше всего реализовать. IETF оценивает ряд подходов к наилучшему развертыванию DoH и планирует создать рабочую группу Adaptive DNS Discovery (ADD) для выполнения этой работы и выработки консенсуса. Кроме того, были сформированы другие отраслевые рабочие группы, такие как Инициатива развертывания зашифрованных DNS, чтобы «определить и принять технологии шифрования DNS таким образом, чтобы обеспечить постоянную высокую производительность, отказоустойчивость, стабильность и безопасность Интернета. критическое пространство имен и службы разрешения имен, а также обеспечение непрерывной бесперебойной работы средств защиты, родительского контроля и других служб, зависящих от DNS ".

Сценарии развертывания

DoH используется для рекурсивное разрешение DNS с помощью преобразователей DNS. Резолверы (клиенты DoH) должны иметь доступ к серверу DoH, на котором размещена конечная точка запроса.

DoH не имеет широкой поддержки в операционных системах, хотя Insider версии Windows 10 поддерживают его. Таким образом, пользователю, желающему его использовать, обычно необходимо установить дополнительное программное обеспечение. Распространены три сценария использования:

  • Использование реализации DoH в приложении: некоторые браузеры имеют встроенную реализацию DoH и, таким образом, могут выполнять запросы в обход функции DNS операционной системы. Недостатком является то, что приложение может не информировать пользователя, если оно пропускает запрос DoH, либо из-за неправильной конфигурации, либо из-за отсутствия поддержки DoH.
  • Установка прокси-сервера DoH на сервере имен в локальной сети: в этом сценарии клиент системы продолжают использовать традиционный (порт 53 или 853) DNS для запроса сервера имен в локальной сети, который затем собирает необходимые ответы через DoH, достигая DoH-серверов в Интернете. Этот метод прозрачен для конечного пользователя.
  • Установка прокси DoH в локальной системе: в этом сценарии операционные системы настроены для запроса локально работающего прокси DoH. В отличие от ранее упомянутого метода, прокси-сервер должен быть установлен в каждой системе, желающей использовать DoH, что может потребовать больших усилий в более крупных средах.

Поддержка программного обеспечения

Операционные системы

Apple

Apple iOS 14 и macOS 11 будут поддерживать как DNS через HTTPS, так и DNS через TLS (DoT), когда они будут выпущены осенью 2020 года.

Windows

В ноябре 2019 года Microsoft объявила о планах по внедрению поддержки зашифрованных протоколов DNS в Microsoft Windows, начиная с с DoH. В мае 2020 года Microsoft выпустила сборку Windows 10 Insider Preview Build 19628, которая включала начальную поддержку DoH вместе с инструкциями о том, как включить ее с помощью реестра и интерфейса командной строки. В сборку Windows 10 Insider Preview 20185 добавлен графический пользовательский интерфейс для настройки DNS через преобразователь HTTPS.

Рекурсивные преобразователи DNS

Без привязки

В октябре 2020 года NLnet Labs анонсирован Unbound 1.12.0 с поддержкой DoH. В Unbound уже есть поддержка DNS через TLS (DoT), начиная с версии 1.4.14, выпущенной в декабре 2011 года. Unbound работает в Linux, FreeBSD, OpenBSD, NetBSD, MacOS и Microsoft Windows.

Веб-браузеры

Google Chrome

DNS через HTTPS доступен в Google Chrome 83 для Windows, macOS и Linux, настраивается на странице настроек. Если этот параметр включен и операционная система настроена с поддерживаемым DNS-сервером, Chrome обновит DNS-запросы для шифрования. Также можно вручную указать предустановленный или настраиваемый сервер DoH для использования в пользовательском интерфейсе.

В сентябре 2020 года Google Chrome для Android начал поэтапное развертывание DNS через HTTPS. Пользователи могут настроить собственный преобразователь или отключить DNS через HTTPS в настройках.

Microsoft Edge

Microsoft Edge имеет поддержку DoH, настраиваемую с помощью URL-адреса edge: // flags. Если операционная система настроена с поддерживаемым DNS-сервером, Edge обновит DNS-запросы для шифрования.

Mozilla Firefox

В 2018 году Mozilla сотрудничал с Cloudflare для доставки DoH для пользователей Firefox, у которых он включен. Firefox 73 добавил еще один преобразователь в параметры, NextDNS. 25 февраля 2020 года Firefox начал включать DNS через HTTPS для всех пользователей в США, по умолчанию полагаясь на преобразователь Cloudflare. 3 июня 2020 года Firefox 77.0.1 отключил NextDNS по умолчанию, потому что высокая нагрузка на серверы NextDNS, вызванная пользователями Firefox, была «эффективной DDoS-атакой NextDNS» (NextDNS все еще доступен в настройках, но не включен по умолчанию). В июне 2020 года Mozilla объявила о планах добавить Comcast в список доверенных преобразователей DoH.

Opera

Opera поддерживает DoH, настраиваемый на странице настроек браузера. По умолчанию DNS-запросы отправляются на серверы Cloudflare.

Общедоступные DNS-серверы

Реализации DNS поверх HTTPS-серверов уже доступны бесплатно некоторыми общедоступными поставщиками DNS. Обзор см. В разделе общедоступный рекурсивный сервер имен.

Критика и рекомендации по внедрению

DoH может препятствовать анализу и мониторингу трафика DNS в целях кибербезопасности; червь 2019 DDoS Godula использовал DoH для маскировки соединений со своим командным сервером. DoH использовался для обхода родительского контроля, который работает на (незашифрованном) стандартном уровне DNS; Circle, маршрутизатор родительского контроля, который использует DNS-запросы для проверки доменов на соответствие черным спискам, из-за этого по умолчанию блокирует DoH. Однако есть поставщики DNS, которые предлагают фильтрацию и родительский контроль наряду с поддержкой DoH за счет использования серверов DoH.

Ассоциация поставщиков интернет-услуг (ISPA) - торговая ассоциация, представляющая британских интернет-провайдеров - а также британская организация Internet Watch Foundation раскритиковали Mozilla, разработчика Firefox веб-браузера, за поддержку DoH, как они считают что это подорвет программы блокировки сети в стране, включая стандартную фильтрацию интернет-провайдером контента для взрослых и обязательную фильтрацию нарушений авторских прав по решению суда. ISPA номинировало Mozilla на награду «Интернет-злодей» на 2019 год (наряду с Директивой ЕС об авторском праве на едином цифровом рынке и Дональдом Трампом ) «за предложенный подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти британские обязательства по фильтрации и родительскому контролю, подрывая стандарты интернет-безопасности в Великобритании ». Mozilla ответила на обвинения ISPA, заявив, что это не предотвратит фильтрацию, и что они были «удивлены и разочарованы тем, что отраслевая ассоциация интернет-провайдеров решила представить в ложном свете улучшение устаревшей интернет-инфраструктуры». В ответ на критику ISPA извинилась и отозвала номинацию. Впоследствии Mozilla заявила, что DoH не будет использоваться по умолчанию на рынке Великобритании до дальнейшего обсуждения с соответствующими заинтересованными сторонами, но заявила, что он «предложит реальные преимущества безопасности гражданам Великобритании».

Многие проблемы с тем, как правильно развернуть DoH все еще решается интернет-сообществом, включая, помимо прочего:

  • Родительский контроль и фильтры содержимого
  • Разделение DNS на предприятиях
  • Локализация CDN

Клиенты DoH напрямую не запросить любые полномочные серверы имен. Вместо этого клиент полагается на сервер DoH, используя традиционные запросы (порт 53 или 853), чтобы наконец достичь авторитетных серверов. Таким образом, DoH не квалифицируется как протокол с сквозным шифрованием, только с межсетевым шифрованием и только в том случае, если DNS поверх TLS используется последовательно.

См. Также

Ссылки

Внешние ссылки

Последняя правка сделана 2021-05-16 09:19:10
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте