Протокол связи | |
Цель | инкапсулировать DNS в HTTPS для обеспечения конфиденциальности и безопасности |
---|---|
Представлено | октябрь 2018 г.; 2 года назад (2018-10) |
уровень OSI | Application Layer |
RFC (s) | RFC 8484 |
DNS over HTTPS (DoH ) - это протокол для выполнения удаленного разрешения системы доменных имен (DNS) по протоколу HTTPS. Цель метода - повысить конфиденциальность и безопасность пользователей за счет предотвращения перехвата и манипулирования данными DNS с помощью атак типа «человек посередине» с использованием протокола HTTPS для шифрования данных. между клиентом DoH и преобразователем DNS на основе DoH. К марту 2018 года Google и Mozilla Foundation начали тестирование версий DNS через HTTPS. В феврале 2020 года Firefox переключился на DNS через HTTPS по умолчанию для пользователей в США.
Помимо повышения безопасности, еще одной целью DNS over HTTPS является повышение производительности: тестирование Интернет-провайдер DNS-преобразователи показали, что многие из них часто имеют медленное время отклика, проблема, которая усугубляется необходимостью разрешать множество имен хостов при загрузке одной веб-страницы.
DoH - это предлагаемый стандарт, опубликованный как RFC 8484 (октябрь 2018 г.) 6>IETF. Он использует HTTP / 2 и HTTPS и поддерживает данные ответа DNS в проводном формате, возвращенные в существующих ответах UDP, в полезных данных HTTPS с типом MIME. приложение / dns-сообщение. Если используется HTTP / 2, сервер также может использовать HTTP / 2 server push для отправки значений, которые, как он ожидает, клиент может заранее найти полезными.
DoH находится в стадии разработки. Несмотря на то, что IETF опубликовал RFC 8484 в качестве предлагаемого стандарта, и компании экспериментируют с ним, IETF еще предстоит определить, как его лучше всего реализовать. IETF оценивает ряд подходов к наилучшему развертыванию DoH и планирует создать рабочую группу Adaptive DNS Discovery (ADD) для выполнения этой работы и выработки консенсуса. Кроме того, были сформированы другие отраслевые рабочие группы, такие как Инициатива развертывания зашифрованных DNS, чтобы «определить и принять технологии шифрования DNS таким образом, чтобы обеспечить постоянную высокую производительность, отказоустойчивость, стабильность и безопасность Интернета. критическое пространство имен и службы разрешения имен, а также обеспечение непрерывной бесперебойной работы средств защиты, родительского контроля и других служб, зависящих от DNS ".
DoH используется для рекурсивное разрешение DNS с помощью преобразователей DNS. Резолверы (клиенты DoH) должны иметь доступ к серверу DoH, на котором размещена конечная точка запроса.
DoH не имеет широкой поддержки в операционных системах, хотя Insider версии Windows 10 поддерживают его. Таким образом, пользователю, желающему его использовать, обычно необходимо установить дополнительное программное обеспечение. Распространены три сценария использования:
Apple iOS 14 и macOS 11 будут поддерживать как DNS через HTTPS, так и DNS через TLS (DoT), когда они будут выпущены осенью 2020 года.
В ноябре 2019 года Microsoft объявила о планах по внедрению поддержки зашифрованных протоколов DNS в Microsoft Windows, начиная с с DoH. В мае 2020 года Microsoft выпустила сборку Windows 10 Insider Preview Build 19628, которая включала начальную поддержку DoH вместе с инструкциями о том, как включить ее с помощью реестра и интерфейса командной строки. В сборку Windows 10 Insider Preview 20185 добавлен графический пользовательский интерфейс для настройки DNS через преобразователь HTTPS.
В октябре 2020 года NLnet Labs анонсирован Unbound 1.12.0 с поддержкой DoH. В Unbound уже есть поддержка DNS через TLS (DoT), начиная с версии 1.4.14, выпущенной в декабре 2011 года. Unbound работает в Linux, FreeBSD, OpenBSD, NetBSD, MacOS и Microsoft Windows.
DNS через HTTPS доступен в Google Chrome 83 для Windows, macOS и Linux, настраивается на странице настроек. Если этот параметр включен и операционная система настроена с поддерживаемым DNS-сервером, Chrome обновит DNS-запросы для шифрования. Также можно вручную указать предустановленный или настраиваемый сервер DoH для использования в пользовательском интерфейсе.
В сентябре 2020 года Google Chrome для Android начал поэтапное развертывание DNS через HTTPS. Пользователи могут настроить собственный преобразователь или отключить DNS через HTTPS в настройках.
Microsoft Edge имеет поддержку DoH, настраиваемую с помощью URL-адреса edge: // flags
. Если операционная система настроена с поддерживаемым DNS-сервером, Edge обновит DNS-запросы для шифрования.
В 2018 году Mozilla сотрудничал с Cloudflare для доставки DoH для пользователей Firefox, у которых он включен. Firefox 73 добавил еще один преобразователь в параметры, NextDNS. 25 февраля 2020 года Firefox начал включать DNS через HTTPS для всех пользователей в США, по умолчанию полагаясь на преобразователь Cloudflare. 3 июня 2020 года Firefox 77.0.1 отключил NextDNS по умолчанию, потому что высокая нагрузка на серверы NextDNS, вызванная пользователями Firefox, была «эффективной DDoS-атакой NextDNS» (NextDNS все еще доступен в настройках, но не включен по умолчанию). В июне 2020 года Mozilla объявила о планах добавить Comcast в список доверенных преобразователей DoH.
Opera поддерживает DoH, настраиваемый на странице настроек браузера. По умолчанию DNS-запросы отправляются на серверы Cloudflare.
Реализации DNS поверх HTTPS-серверов уже доступны бесплатно некоторыми общедоступными поставщиками DNS. Обзор см. В разделе общедоступный рекурсивный сервер имен.
DoH может препятствовать анализу и мониторингу трафика DNS в целях кибербезопасности; червь 2019 DDoS Godula использовал DoH для маскировки соединений со своим командным сервером. DoH использовался для обхода родительского контроля, который работает на (незашифрованном) стандартном уровне DNS; Circle, маршрутизатор родительского контроля, который использует DNS-запросы для проверки доменов на соответствие черным спискам, из-за этого по умолчанию блокирует DoH. Однако есть поставщики DNS, которые предлагают фильтрацию и родительский контроль наряду с поддержкой DoH за счет использования серверов DoH.
Ассоциация поставщиков интернет-услуг (ISPA) - торговая ассоциация, представляющая британских интернет-провайдеров - а также британская организация Internet Watch Foundation раскритиковали Mozilla, разработчика Firefox веб-браузера, за поддержку DoH, как они считают что это подорвет программы блокировки сети в стране, включая стандартную фильтрацию интернет-провайдером контента для взрослых и обязательную фильтрацию нарушений авторских прав по решению суда. ISPA номинировало Mozilla на награду «Интернет-злодей» на 2019 год (наряду с Директивой ЕС об авторском праве на едином цифровом рынке и Дональдом Трампом ) «за предложенный подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти британские обязательства по фильтрации и родительскому контролю, подрывая стандарты интернет-безопасности в Великобритании ». Mozilla ответила на обвинения ISPA, заявив, что это не предотвратит фильтрацию, и что они были «удивлены и разочарованы тем, что отраслевая ассоциация интернет-провайдеров решила представить в ложном свете улучшение устаревшей интернет-инфраструктуры». В ответ на критику ISPA извинилась и отозвала номинацию. Впоследствии Mozilla заявила, что DoH не будет использоваться по умолчанию на рынке Великобритании до дальнейшего обсуждения с соответствующими заинтересованными сторонами, но заявила, что он «предложит реальные преимущества безопасности гражданам Великобритании».
Многие проблемы с тем, как правильно развернуть DoH все еще решается интернет-сообществом, включая, помимо прочего:
Клиенты DoH напрямую не запросить любые полномочные серверы имен. Вместо этого клиент полагается на сервер DoH, используя традиционные запросы (порт 53 или 853), чтобы наконец достичь авторитетных серверов. Таким образом, DoH не квалифицируется как протокол с сквозным шифрованием, только с межсетевым шифрованием и только в том случае, если DNS поверх TLS используется последовательно.