DNS pentru HTTPS (DoH) este aici, controversa este servită - Think Big Empresas
DoH (DNS prin HTTPS) este foarte simplu. În loc să meargă la portul 53 al unui server (să zicem binecunoscutul 8.8.8.8) și să cerem un domeniu printr-un pachet UDP sau TCP, DoH standardizează construcția unui GET sau POST către un domeniu HTTPS și răspunsul va fi înregistrarea A și AAAA (RFC nu specifică alte înregistrări) cu IP. Desigur, aveți mai multe detalii, cum ar fi soluția ingenioasă care este antetul controlul cache-ului va deveni TTL. Toate criptările end-to-end, evident. Îți amintești când, într-un hotel, ai putea să treci prin protocolul DNS (de obicei nerestricționat) navigarea HTTP pentru a nu plăti WiFi? Ei bine, acum, înapoi.
Protocolul DNS este ca o cămilă. De-a lungul timpului, a fost împovărat cu atât de multă greutate, forțat să suporte atât de multe patch-uri, remedii și plugin-uri, încât acum se târăște cu răbdare prin deșert, fără a rezolva deloc nicio problemă, cu excepția celor concepute. Și dintr-un motiv sau altul, securitatea și/sau confidențialitatea dorite nu au fost încă realizate. Nu pentru că nu a fost propusă (de fapt există zeci de propuneri alternative sau complementare unele cu altele), ci pentru că niciuna nu a fost adoptată masiv. De la DNSSEC, prin DNS peste TLS (DoT), care, după cum puteți ghici, este să continuați cu același protocol DNS, dar cu un tunel TLS (ceva de genul POP3 ȘI SPOP3). DoT, cel mai apropiat de DoH, folosește portul 853 și, în mod eficient, ascunde conținutul traficului și autentifică serverul. Acest RFC a fost propus în 2016. Dar nu a devenit atât de popular pe cât se aștepta. Cu siguranță nu a provocat agitația ridicată cu DoH.
Apropo, există și DNS peste DTLS, DNS peste QUIC, DNS peste TOR ... Există chiar și un DoH care returnează un Json, dar aceasta este o adaptare specială pe care Google o folosește (deși și Cloudfare o face) mai puternică ( de exemplu, permite consultarea altor înregistrări decât doar A sau AAAA).
| Aceste imagini arată cum să utilizați DoH prin intermediul API-urilor Google și Cloudfare și cum returnează un Json |
DNS este unul dintre cele mai vechi protocoale din rețea și a fost întotdeauna o durere de cap de securitate (de la atacul de ziua de naștere până la problema Kaminsky). Totul este clar, cu posibilitatea UDP (chiar mai ușor de injectat pachete false ...). Un dezastru chiar și fără a fi nevoie de atacuri, deoarece serverele pot fi controlate de guverne și astfel pot redirecționa sau bloca cererile. Și totul într-un mod absolut transparent și fără intimitate sau integritate (deoarece DNSSEC nu este la fel de bine stabilit ca ar trebui să fie). Am încredințat bazele internetului unui protocol care nu a știut cum să se protejeze din punct de vedere tehnologic, astfel încât soluțiile să fie adoptate masiv (sau nu a fost dorit, tocmai din același motiv) și căruia i se adresează tot felul de plasturi și cataplasme au fost aplicate pentru a nu rupe moștenirea. Atât de mult încât În cele din urmă, propunerea de realizare a securității a fost revoluționară: treceți rezoluția în planul de date. Și dacă acest lucru nu ar fi fost suficient, DoH face ca rezoluția să nu aibă încredere în DNS-ul global al sistemului, dar poate ignora acel server DNS care este de obicei furnizat de DHCP ... astfel încât fiecare aplicație să se poată rezolva prin HTTPS într-un mod standard.
Dar nu este rău, nu-i așa? Nu ar fi minunat dacă nimeni nu ar vedea ce încercăm să rezolvăm și nu l-am putea schimba în niciun fel? Disimulați cererile și răspunsurile în HTTPS și lăsați-vă purtați de mulțime într-un port pe care nimeni nu îl poate tăia, 443. Gata cu spioni sau restricții. Asta promite DoH, dar se rupe mai mult decât remediază?