DNS over HTTPS ( DoH ) - это протокол для выполнения разрешения удаленной системы доменных имен (DNS) через протокол HTTPS . Цель метода - повысить конфиденциальность и безопасность пользователей за счет предотвращения подслушивания и манипулирования данными DNS с помощью атак типа «злоумышленник в середине» [1] путем использования протокола HTTPS для шифрования данных между клиентом DoH и основанным на DoH DNS-преобразователь . К марту 2018 года Google и Mozilla Foundation начали тестирование версий DNS через HTTPS. [2] [3] В феврале 2020 г. Firefoxпереключился на DNS через HTTPS по умолчанию для пользователей в США. [4]
Протокол связи | |
Цель | инкапсулируйте DNS в HTTPS для конфиденциальности и безопасности |
---|---|
Введено | Октябрь 2018 г . |
Слой OSI | Уровень приложения |
RFC (ы) | RFC 8484 |
Альтернативой DoH является протокол DNS over TLS (DoT), аналогичный стандарт для шифрования DNS- запросов, отличающийся только методами, используемыми для шифрования и доставки. На основе конфиденциальности и безопасности вопрос о том, существует ли лучший протокол среди этих двух, является предметом споров, в то время как другие утверждают, что достоинства того и другого зависят от конкретного варианта использования. [5]
Технические подробности
DoH - это предлагаемый стандарт, опубликованный IETF как RFC 8484 (октябрь 2018 г.) . Он использует HTTP / 2 и HTTPS и поддерживает данные ответа DNS в проводном формате , возвращенные в существующих ответах UDP, в полезной нагрузке HTTPS с типом MIME application / dns-message . [1] [6] Если используется HTTP / 2, сервер может также использовать HTTP / 2 server push для отправки значений, которые, как он ожидает, клиент может заранее найти полезными. [7]
DoH находится в стадии разработки. Несмотря на то, что IETF опубликовала RFC 8484 в качестве предлагаемого стандарта, и компании экспериментируют с ним [8] [9], IETF еще предстоит определить, как его лучше всего реализовать. IETF оценивает ряд подходов к тому, как лучше всего развернуть DoH, и намеревается создать рабочую группу, Adaptive DNS Discovery (ADD) , для выполнения этой работы и достижения консенсуса. Кроме того, другие отраслевые рабочие группы, такие как « Инициатива по развертыванию зашифрованных DNS» , были сформированы для «определения и внедрения технологий шифрования DNS таким образом, чтобы обеспечить постоянную высокую производительность, отказоустойчивость, стабильность и безопасность критического пространства имен Интернета и служб разрешения имен. , а также обеспечение непрерывной бесперебойной работы средств защиты, родительского контроля и других служб, зависящих от DNS ". [10]
Поскольку DoH не может использоваться в некоторых случаях, например, на связанных порталах , веб-браузеры, такие как Firefox, могут быть настроены для возврата к небезопасному DNS. [11]
Незабываемый DNS-over-HTTPS
Oblivious DoH - это Интернет-проект, предлагающий расширение протокола, чтобы гарантировать, что ни один сервер DoH не будет знать ни IP-адрес клиента, ни содержимое их сообщений. Все запросы передаются через прокси, скрывая адреса клиентов от самого резолвера, и зашифрованы, чтобы скрыть их содержимое от прокси. [12] [13] [14] [15]
Сценарии развертывания
DoH используется для рекурсивного разрешения DNS с помощью преобразователей DNS . Резолверы ( клиенты DoH ) должны иметь доступ к серверу DoH, на котором размещена конечная точка запроса. [7]
Распространены три сценария использования:
- Использование реализации DoH в приложении: некоторые браузеры имеют встроенную реализацию DoH и, таким образом, могут выполнять запросы, минуя функции DNS операционной системы. Недостатком является то, что приложение может не информировать пользователя, если оно пропускает запрос DoH, либо из-за неправильной конфигурации, либо из-за отсутствия поддержки DoH.
- Установка прокси-сервера DoH на сервере имен в локальной сети: в этом сценарии клиентские системы продолжают использовать традиционный (порт 53 или 853) DNS для запроса сервера имен в локальной сети, который затем соберет необходимые ответы через DoH, достигнув DoH-серверы в Интернете. Этот метод прозрачен для конечного пользователя.
- Установка прокси-сервера DoH в локальной системе: в этом сценарии операционные системы настроены для запроса локально работающего прокси-сервера DoH. В отличие от ранее упомянутого метода, прокси-сервер необходимо установить в каждой системе, желающей использовать DoH, что может потребовать больших усилий в более крупных средах.
Поддержка программного обеспечения
Операционные системы
яблоко
IOS 14 и macOS 11 от Apple, выпущенные в конце 2020 года, поддерживают протоколы DoH и DoT . [16] [17]
Окна
В ноябре 2019 года Microsoft объявила о планах реализовать поддержку зашифрованных протоколов DNS в Microsoft Windows , начиная с DoH. [18] В мае 2020 года Microsoft выпустила сборку Windows 10 Insider Preview Build 19628, которая включала начальную поддержку DoH [19] вместе с инструкциями по ее включению через реестр и интерфейс командной строки . [20] В сборку Windows 10 Insider Preview Build 20185 добавлен графический пользовательский интерфейс для указания преобразователя DoH. [21]
Рекурсивные DNS-преобразователи
СВЯЗЫВАТЬ
BIND 9 , DNS-преобразователь с открытым исходным кодом от Internet Systems Consortium, добавил встроенную поддержку DoH в версии 9.17.10. [22]
PowerDNS
DNSdist, DNS-прокси / балансировщик нагрузки с открытым исходным кодом от PowerDNS , добавил встроенную поддержку DoH в версии 1.4.0 в апреле 2019 года. [23]
Несвязанный
Unbound , DNS-преобразователь с открытым исходным кодом, созданный NLnet Labs , поддерживает DoH с версии 1.12.0, выпущенной в октябре 2020 года. [24] [25] Он впервые реализовал поддержку шифрования DNS с использованием альтернативного протокола DoT намного раньше, начиная с версии. 1.4.14, выпущенный в декабре 2011 года. [26] [27] Unbound работает в большинстве операционных систем , включая дистрибутивы Linux , MacOS и Windows .
Веб-браузеры
Гугл Хром
DNS через HTTPS доступен в Google Chrome 83 для Windows и macOS, его можно настроить на странице настроек. Если этот параметр включен и операционная система настроена с поддерживаемым DNS-сервером, Chrome обновит DNS-запросы для шифрования. [28] Также можно вручную указать предустановленный или настраиваемый сервер DoH для использования в пользовательском интерфейсе. [29]
В сентябре 2020 года Google Chrome для Android начал поэтапное развертывание DNS через HTTPS. Пользователи могут настроить собственный преобразователь или отключить DNS через HTTPS в настройках. [30]
Microsoft Edge
Microsoft Edge поддерживает DNS через HTTPS, настраиваемый на странице настроек. Если этот параметр включен и операционная система настроена с поддерживаемым DNS-сервером, Edge обновит DNS-запросы для шифрования. Также можно вручную указать предустановленный или настраиваемый сервер DoH для использования в пользовательском интерфейсе. [31]
Mozilla Firefox
В 2018 году Mozilla объединилась с Cloudflare, чтобы предоставить DoH для пользователей Firefox, которые его поддерживают (известный как Trusted Recursive Resolver). [32] Firefox 73 добавил еще один преобразователь в параметры, NextDNS. [33] 25 февраля 2020 года Firefox начал включать DNS через HTTPS для всех пользователей в США, по умолчанию полагаясь на распознаватель Cloudflare. [34] 3 июня 2020 г. Firefox 77.0.1 отключил NextDNS по умолчанию, поскольку высокая нагрузка на серверы NextDNS, вызванная пользователями Firefox, «эффективно использовала DDoS-атаки на NextDNS». [35] В июне 2020 года Mozilla объявила о планах добавить Comcast в список доверенных преобразователей DoH. [36]
Опера
Opera поддерживает DoH, настраиваемый на странице настроек браузера. [37] По умолчанию запросы DNS отправляются на серверы Cloudflare. [38]
Публичные DNS-серверы
Реализации DNS через HTTPS-сервер уже доступны бесплатно некоторыми общедоступными поставщиками DNS. [39]
Соображения по реализации
Многие проблемы, связанные с правильным развертыванием DoH, все еще решаются интернет-сообществом, включая, помимо прочего:
- Запрет сторонним лицам анализировать DNS-трафик в целях безопасности
- Нарушение родительского контроля на уровне DNS и фильтров контента
- Разделение DNS в корпоративных сетях [ необходима ссылка ]
- Локализация CDN [ необходима ссылка ]
Анализ DNS-трафика в целях безопасности
DoH может препятствовать анализу и мониторингу DNS-трафика в целях кибербезопасности; DDoS- червь 2019 года Godlua использовал DoH для маскировки подключений к своему командному серверу. [40] [41]
В январе 2021 года АНБ предупредило предприятия от использования внешних преобразователей DoH, поскольку они предотвращают фильтрацию, проверку и аудит DNS-запросов. Вместо этого NSA рекомендует настраивать корпоративные преобразователи DoH и блокировать все известные внешние преобразователи DoH. [42]
Нарушение фильтров контента
DoH использовался для обхода родительского контроля, который работает на (незашифрованном) стандартном уровне DNS; Circle, маршрутизатор родительского контроля, который использует DNS-запросы для проверки доменов на соответствие черным спискам, из-за этого по умолчанию блокирует DoH. [43] Однако есть поставщики DNS, которые предлагают фильтрацию и родительский контроль наряду с поддержкой DoH за счет использования серверов DoH. [44] [45] [46] [47]
Ассоциация интернет-провайдеров (ISPA) - торговая ассоциация, представляющая британских интернет-провайдеров - а также британский фонд Internet Watch Foundation раскритиковали Mozilla , разработчика веб-браузера Firefox , за поддержку DoH, поскольку они считают, что это подорвет программы веб-блокировки в страны, включая фильтрацию контента для взрослых по умолчанию, установленную интернет-провайдером, и обязательную фильтрацию нарушений авторских прав по решению суда. ISPA номинировало Mozilla на награду «Интернет-злодей» на 2019 год (наряду с Директивой ЕС об авторском праве на едином цифровом рынке и Дональдом Трампом ) «за предложенный подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти Обязательства Великобритании по фильтрации и родительскому контролю, подрывающие стандарты интернет-безопасности в Великобритании ». Mozilla ответила на обвинения ISPA, заявив, что это не предотвратит фильтрацию, и что они были «удивлены и разочарованы тем, что отраслевая ассоциация интернет-провайдеров решила представить в ложном свете улучшение устаревшей интернет-инфраструктуры». [48] [49] В ответ на критику ISPA извинилась и отозвала номинацию. [50] [51] Mozilla впоследствии заявила, что DoH не будет использоваться по умолчанию на британском рынке до дальнейшего обсуждения с соответствующими заинтересованными сторонами, но заявила, что он «обеспечит реальные преимущества безопасности гражданам Великобритании». [52]
Несогласованное развертывание DoH
Некоторые развертывания DoH не являются зашифрованными сквозным шифрованием , а скорее зашифрованы только по шагам, поскольку DoH развертывается только в подмножестве подключений. Различают следующие типы подключений:
- с клиентского устройства (компьютера или планшета) на локальный DNS-сервер пересылки (домашний или офисный маршрутизатор)
- от сервера пересылки DNS к рекурсивному преобразователю DNS (обычно у интернет-провайдера)
- от рекурсивного преобразователя DNS к авторитетному преобразователю DNS (обычно расположенному в центре обработки данных)
Каждое соединение в цепочке должно поддерживать DoH для максимальной безопасности.
Смотрите также
- DNS через TLS
- DNSCrypt
- DNSCurve
- Клиентская подсеть EDNS
Рекомендации
- ^ a b Ричард Чиргвин (14 декабря 2017 г.). «IETF защищает конфиденциальность и помогает обеспечить сетевой нейтралитет с помощью DNS через HTTPS» . Реестр . Архивировано 14 декабря 2017 года . Проверено 21 марта 2018 .
- ^ «DNS-over-HTTPS | Общедоступный DNS | Разработчики Google» . Разработчики Google . Архивировано 20 марта 2018 года . Проверено 21 марта 2018 .
- ^ Чимпану, Каталин (20.03.2018). «Mozilla тестирует» поддержку DNS через HTTPS в Firefox . BleepingComputer . Архивировано 20 марта 2018 года . Проверено 21 марта 2018 .
- ^ « « Давно назревший технологический сдвиг в сторону конфиденциальности в Интернете »: Firefox шифрует доменные имена. Google следует» . Что нового в издательском деле | Новости цифровой публикации . 2020-02-26. Архивировано 26 февраля 2020 года . Проверено 26 февраля 2020 .
- ^ Франциско, Томас Клэберн в Сан. «Google развертывает поддержку защиты конфиденциальности DNS-over-HTTPS в Chrome 83 ... с удобным переключателем для корпоративных ИТ» . www.theregister.com . Источник 2021-02-03 .
- ^ Hoffman, P; Макманус П. «RFC 8484 - DNS-запросы через HTTPS» . datatracker.ietf.org . Архивировано 12 декабря 2018 года . Проверено 20 мая 2018 .
- ^ а б Hoffman, P; Макманус, П. «draft-ietf-doh-dns-over-https-08 - DNS-запросы через HTTPS» . datatracker.ietf.org . Архивировано 25 апреля 2018 года . Проверено 20 мая 2018 .
- ^ «Экспериментируйте с обновлением DNS-over-HTTPS от того же провайдера» . Блог Chromium . Архивировано 12 сентября 2019 года . Проверено 13 сентября 2019 .
- ^ Декельманн, Селена. «Что дальше в том, чтобы сделать шифрованный DNS-over-HTTPS значением по умолчанию» . Будущие релизы . Архивировано 14 сентября 2019 года . Проверено 13 сентября 2019 .
- ^ «О» . Инициатива по развертыванию зашифрованного DNS . Архивировано 4 декабря 2019 года . Проверено 13 сентября 2019 .
- ^ Улучшение конфиденциальности DNS в Firefox
- ^ Макманус, Патрик; Вуд, Кристофер; Киннер, Эрик; Поли, Томми. «Забывчивый DNS через HTTPS» . tools.ietf.org . Проверено 17 марта 2021 .
- ^ Синганамалла, Судиш; Чунхапанья, Супханат; Вавруша, Марек; Верма, Таня; Ву, Питер; Файед, Марван; Хеймерл, Куртис; Салливан, Ник; Вуд, Кристофер (2020). «Забывчивый DNS через HTTPS (ODoH): практическое улучшение конфиденциальности DNS». arXiv : 2011.10121 [ cs.CR ].
- ^ Гудин, Дэн (2020-12-08). «Cloudflare, Apple и другие поддерживают новый способ сделать Интернет более приватным» . Ars Technica . Проверено 14 марта 2021 .
- ^ «Cloudflare и Apple разрабатывают новый интернет-протокол, обеспечивающий конфиденциальность» . TechCrunch . Проверено 17 марта 2021 .
- ^ Июнь 2020, Энтони Спадафора, 29. «Устройства Apple получат зашифрованный DNS в iOS 14 и macOS 11» . TechRadar . Архивировано 01 июля 2020 года . Проверено 1 июля 2020 .
- ^ Чимпану, Каталин. «Apple добавляет поддержку зашифрованного DNS (DoH и DoT)» . ZDNet . Архивировано 27 июня 2020 года . Проверено 2 июля 2020 .
- ^ Галлахер, Шон (19.11.2019). «Microsoft соглашается с будущими зашифрованными DNS-запросами в Windows» . Ars Technica . Архивировано 19 ноября 2019 года . Проверено 20 ноября 2019 .
- ^ «Представляем Windows 10 Insider Preview Build 19628» . 13 мая 2020. Архивировано 18 мая 2020 года . Дата обращения 13 мая 2020 .
- ^ «Инсайдеры Windows теперь могут тестировать DNS через HTTPS» . Архивировано 15 мая 2020 года . Дата обращения 7 июля 2020 .
- ^ Бринкманн, Мартин (6 августа 2020 г.). «Windows 10 build 20185 поставляется с зашифрованными настройками DNS - gHacks Tech News» . gHacks Tech News . Проверено 6 августа 2020 .
- ^ Болдарев, Артем. «BIND реализует DoH» . Веб-сайт ISC . Консорциум Интернет-систем . Проверено 17 февраля 2021 года .
- ^ «dnsdist 1.4.0-alpha2 с поддержкой DNS через HTTPS» . Блог PowerDNS . 2019-04-26 . Проверено 10 мая 2021 .
- ^ Wijngaards, Wouter. «Unbound 1.12.0 выпущен» . NLnet Labs . Проверено 24 октября 2020 года .
- ^ Долманс, Ральф. «DNS-over-HTTPS в несвязанном» . Блог NLnet Labs . Проверено 24 октября 2020 года .
- ^ Wijngaards, Wouter. «Несвязанный релиз 1.4.14» . Список рассылки несвязанных пользователей . Проверено 24 октября 2020 года .
- ^ Wijngaards, Wouter. "Поддержка DNS через SSL" . GitHub . Проверено 24 октября 2020 года .
- ^ «DNS через HTTPS (также известный как DoH)» . Архивировано 27 мая 2020 года . Дата обращения 23 мая 2020 .
- ^ «Chrome 83: начинается развертывание DNS через HTTPS (безопасный DNS)» . Архивировано 1 июня 2020 года . Проверено 20 июля 2020 .
- ^ Каталин Чимпану. «Поддержка DNS-over-HTTPS (DoH) добавлена в Chrome на Android | ZDNet» . ZDNet . Источник 2021-02-03 .
- ^ «Как включить DNS-over-HTTPS (DoH) в Windows 10» . BleepingComputer . Проверено 23 января 2021 .
- ^ Доверенный рекурсивный преобразователь
- ^ Mozilla. «Firefox объявляет о новом партнере по предоставлению пользователям частных и безопасных служб DNS» . Блог Mozilla . Архивировано 25 февраля 2020 года . Проверено 25 февраля 2020 .
- ^ Декельманн, Селена. «Firefox продолжает продвигать DNS поверх HTTPS по умолчанию для пользователей из США» . Блог Mozilla . Архивировано 27 мая 2020 года . Проверено 28 мая 2020 .
- ^ «Firefox 77.0.1 будет выпущен сегодня, чтобы исправить одну проблему - gHacks Tech News» . www.ghacks.net . Архивировано 9 июня 2020 года . Проверено 9 июня 2020 .
- ^ Бродкин, Джон (25.06.2020). «Comcast и Mozilla заключают соглашение о конфиденциальности для шифрования запросов DNS в Firefox» . Ars Technica . Архивировано 26 июня 2020 года . Проверено 26 июня 2020 .
- ^ «Список изменений для 67» . Дата обращения 23 августа 2020 .
- ^ «Вот как включить DoH в каждом браузере, к черту провайдеры» . Архивировано 9 июня 2020 года . Проверено 28 мая 2020 .
- ^ «Реализации DNS через HTTPS» . 2018-04-27. Архивировано 2 апреля 2018 года . Проверено 27 апреля 2018 .
- ^ Чимпану, Каталин. «DNS-over-HTTPS вызывает больше проблем, чем решает, - говорят эксперты» . ZDNet . Архивировано 8 ноября 2019 года . Проверено 19 ноября 2019 .
- ^ Чимпану, Каталин. «Первый в мире штамм вредоносного ПО обнаружил злоупотребление новым протоколом DoH (DNS over HTTPS)» . ZDNet . Архивировано 27 октября 2019 года . Проверено 19 ноября 2019 .
- ^ Гудин, Дэн (2021-01-15). «АНБ предостерегает предприятия от сторонних преобразователей DNS» . Ars Technica . Проверено 17 марта 2021 .
- ^ «Управление зашифрованными DNS-соединениями (DNS через TLS, DNS через HTTPS) с помощью Circle» . Центр поддержки Circle . Проверено 7 июля 2020 .
- ^ Inc, CleanBrowsing. «Родительский контроль с поддержкой DNS через TLS» . CleanBrowsing . Проверено 20 августа 2020 .
- ^ Inc, CleanBrowsing. «Родительский контроль с поддержкой DNS через HTTPS (DoH)» . CleanBrowsing . Проверено 20 августа 2020 .
- ^ blockerDNS. «blockerDNS - Товары» . blockerdns.com . Проверено 20 августа 2020 .
- ^ «Защитите свою конфиденциальность с помощью DNS-over-TLS на SafeDNS» . SafeDNS . Проверено 20 августа 2020 .
- ^ Чимпану, Каталин. «Британская группа интернет-провайдеров называет Mozilla« Internet Villain »за поддержку« DNS-over-HTTPS » » . ZDNet . Архивировано 5 июля 2019 года . Проверено 5 июля 2019 .
- ^ «Интернет-группа называет Mozilla« интернет-злодеем »за поддержку функции конфиденциальности DNS» . TechCrunch . Проверено 19 июля 2019 .
- ^ «Британские интернет-провайдеры борются за то, чтобы сделать Интернет МЕНЬШЕ безопасным» . ЭТО ПРО . Проверено 14 сентября 2019 .
- ^ Патравала, Фатема (11.07.2019). «ISPA номинировала Mozilla в категории« Интернет-злодей »за поддержку DNS через HTTP, отозвала номинации и категорию после негативной реакции сообщества» . Packt Hub . Архивировано 4 декабря 2019 года . Проверено 14 сентября 2019 .
- ^ Херн, Алекс (24 сентября 2019). «Firefox:« Великобритания не планирует »сделать зашифрованный браузер по умолчанию» . Хранитель . ISSN 0261-3077 . Архивировано 28 сентября 2019 года . Проверено 29 сентября 2019 .
Внешние ссылки
- Проект конфиденциальности DNS: dnsprivacy.org
- Реализации DNS через HTTPS
- Мультяшное введение в DNS через HTTPS
- Рекомендации по использованию DNS через HTTPS (DoH) для сетей операторов (черновик, срок действия истек 12 марта 2020 г.)