Itt van a DNS HTTPS-en (DoH) keresztül, a vita kiszolgáltatott - gondolja a Big Empresas-t
A DoH (DNS HTTPS-en keresztül) nagyon egyszerű. Ahelyett, hogy a szerver 53-as portjához (mondjuk a jól ismert 8.8.8.8-hoz) lépne, és UDP vagy TCP csomagon keresztül kérne tartományt, a DoH szabványosítja a GET vagy a POST felépítését HTTPS tartományra, és a válasz az A és AAAA rekord (az RFC nem határoz meg más rekordokat) az IP-vel. Természetesen vannak további részletek, például a zseniális megoldás, amelyet a fejléc tartalmaz gyorsítótár-vezérlés TTL lesz. Minden végpontok közötti titkosítás, nyilvánvalóan. Emlékszel, amikor egy szállodában át tudtál alagutazni a DNS protokoll (általában korlátlan) HTTP böngészésen, hogy ne fizess a WiFi-ért? Nos, hátra.
A DNS protokoll olyan, mint egy teve. Az idő múlásával annyi súly nehezedett rá, hogy kénytelen volt elviselni annyi tapaszt, gyógymódot és plugint, hogy most türelmesen mászik át a sivatagban, anélkül, hogy bármilyen problémát teljesen megoldana, kivéve azt, amit terveztek. És egyik vagy másik okból a kívánt biztonságot és/vagy adatvédelmet még nem sikerült elérni. Nem azért, mert nem javasolták (valójában több tucat alternatív vagy kiegészítő javaslat létezik egymásnak), hanem azért, mert egyiket sem fogadták el tömegesen. A DNSSEC-től kezdve a DNS-en keresztül a TLS-en keresztül (DoT), amely, mint sejteni tudja, ugyanazzal a DNS-protokollal folytatódik, de egy TLS-alagúttal (például POP3 és SPOP3). A DoT, a DoH-hoz legközelebbi dolog, a 853-as portot használja, és hatékonyan elrejti a forgalom tartalmát és hitelesíti a szervert. Ezt az RFC-t 2016-ban javasolták. De nem vált annyira népszerűvé, mint várták. Ez biztosan nem váltotta ki a DoH-ban keltett felkelést.
Egyébként van még DNS a DTLS-en, DNS a QUIC felett, DNS a TOR felett ... Van még egy DoH, amely Json-t ad vissza, de ez egy speciális adaptáció, amelyet a Google használ (bár a Cloudfare is csinálja) erősebbnek ( például lehetővé teszi más rekordok megtekintését, nem csak A vagy AAAA).
| Ezek a képek bemutatják, hogyan kell használni a DoH-t a Google és a Cloudfare API-k segítségével, és hogyan hoz vissza egy Json-t |
A DNS a hálózat egyik legrégebbi protokollja, és mindig is biztonsági fejfájást okozott (a születésnapi támadástól a Kaminsky-problémáig). Minden világos, az UDP lehetőségével (még könnyebb hamis csomagokat injektálni ...). Katasztrófa még támadások nélkül is, mert a szervereket kormányok irányíthatják, és így átirányíthatják vagy blokkolhatják a kéréseket. És mindezt teljesen átlátható módon, magánélet és integritás nélkül (mert a DNSSEC nincs annyira kialakítva, mint kellene). Az Internet alapjait egy olyan protokollra bíztuk, amely nem tudta, hogyan védje meg magát technológiai szempontból, hogy a megoldásokat tömegesen alkalmazzák (vagy ezt nem akarták, pontosan ugyanezen okból), és amelyre mindenféle javítás és baromfi alkalmazták, hogy ne törjék meg az örökséget. Annyira, hogy Végül a biztonság elérésére irányuló javaslat úttörő volt: adja át a felbontást az adatsíknak. És ha ez nem lenne elegendő, a DoH a felbontást nem bízza meg a rendszer globális DNS-ében, de figyelmen kívül hagyhatja azt a DNS-kiszolgálót, amelyet általában a DHCP biztosít ... így minden alkalmazás képes a HTTPS-en keresztül szokásos módon megoldani.
De ez nem rossz, nem igaz? Nem lenne csodálatos, ha senki nem látná, amit megpróbáltunk megoldani, és nem tudta azt semmilyen módon módosítani? Álcázza le a kéréseket és a válaszokat a HTTPS-ben, és hagyja, hogy a tömeg elszálljon egy kikötőben, amelyet senki sem tud kivágni, 443. Nincs több kém vagy korlátozás. Ezt ígéri a DoH, de többet tör, mint amennyit javít?