DNS через HTTPS ( DoH ) — это протокол для выполнения удаленного разрешения системы доменных имен (DNS) через протокол HTTPS . Целью метода является повышение конфиденциальности и безопасности пользователей за счет предотвращения прослушивания и манипулирования данными DNS с помощью атак «человек посередине» [1] за счет использования протокола HTTPS для шифрования данных между клиентом DoH и сервером на основе DoH. DNS-преобразователь . [2] К марту 2018 года Google и Mozilla Foundation начали тестирование версий DNS через HTTPS. [3] [4] В феврале 2020 года Firefox перешёл на DNS через HTTPS по умолчанию для пользователей в США. [5] В мае 2020 года Chrome по умолчанию перешёл на DNS через HTTPS. [6]
Альтернативой DoH является протокол DNS over TLS (DoT), аналогичный стандарт шифрования DNS- запросов, отличающийся только методами, используемыми для шифрования и доставки. С точки зрения конфиденциальности и безопасности вопрос о превосходстве любого из протоколов является предметом спорных споров, в то время как другие утверждают, что преимущества любого из них зависят от конкретного варианта использования. [7]
Технические детали
DoH — это предлагаемый стандарт, опубликованный IETF как RFC 8484 (октябрь 2018 г. ) . Он использует HTTPS и поддерживает данные ответов DNS в проводном формате , возвращаемые в существующих ответах UDP, в полезных данных HTTPS с типом MIME application/dns-message . [1] [8] : §4.1 Базовый уровень HTTP может быть любой версией HTTP, хотя рекомендуемым минимумом является HTTP/2 . [8] : §5.2 Если используется HTTP/2, сервер может также использовать push-уведомление сервера HTTP/2 для отправки значений, которые, как он ожидает, клиент может найти полезными заранее. [8] : §5.3
DoH находится в стадии разработки. Несмотря на то, что IETF опубликовал RFC 8484 в качестве предлагаемого стандарта, и компании экспериментируют с ним, [9] [10] IETF еще предстоит определить, как его лучше всего реализовать. IETF оценивает ряд подходов к тому, как лучше всего развернуть DoH, и [ когда? ] собираюсь создать рабочую группу Adaptive DNS Discovery (ADD) для выполнения этой работы и достижения консенсуса. Кроме того, были сформированы другие отраслевые рабочие группы, такие как Инициатива по развертыванию зашифрованного DNS, чтобы «определить и внедрить технологии шифрования DNS таким образом, чтобы обеспечить постоянную высокую производительность, отказоустойчивость, стабильность и безопасность критического пространства имен Интернета и служб разрешения имен». , а также обеспечение непрерывной бесперебойной работы средств защиты, родительского контроля и других служб, зависящих от DNS». [11]
Поскольку DoH нельзя использовать при некоторых обстоятельствах, например, на авторизованных порталах , веб-браузеры, такие как Firefox, можно настроить на возврат к небезопасному DNS. [12]
Забывчивый DNS через HTTPS
Oblivious DNS over HTTPS (ODoH) — это Интернет-проект , предлагающий расширение протокола, гарантирующее, что ни один сервер DoH не будет знать как IP-адрес клиента, так и содержимое его DNS-запросов и ответов. Oblivious DoH был первоначально разработан как Oblivious DNS (ODNS) [13] исследователями из Принстонского университета и Чикагского университета как расширение незашифрованного DNS, прежде чем сам DoH был стандартизирован и широко развернут. Впоследствии Apple и Cloudflare применили эту технологию в контексте DoH под названием Oblivious DoH (ODoH). [14]
В ODoH и ODNS все DNS-запросы и ответы маршрутизируются через прокси-сервер, скрывая адрес клиента от преобразователя. Запросы и ответы шифруются, чтобы скрыть их содержимое от прокси, и только преобразователь может расшифровать запросы, а клиент — ответы. Таким образом, прокси-сервер знает адрес клиента, но не запрос, а распознаватель знает запрос, но не адрес клиента, что предотвращает привязку адреса клиента к запросу, если только оба сервера не вступают в сговор. [15] [16] [17] [18]
Сценарии развертывания
DoH используется для рекурсивного разрешения DNS преобразователями DNS . Резолверы ( клиенты DoH ) должны иметь доступ к серверу DoH, на котором размещена конечная точка запроса. [19]
Распространены три сценария использования:
Использование реализации DoH в приложении. Некоторые браузеры имеют встроенную реализацию DoH и, таким образом, могут выполнять запросы, минуя функции DNS операционной системы. Недостаток заключается в том, что приложение может не информировать пользователя, если оно пропускает запросы DoH, либо из-за неправильной конфигурации, либо из-за отсутствия поддержки DoH.
Установка прокси-сервера DoH на сервере имен в локальной сети. В этом сценарии клиентские системы продолжают использовать традиционный (порт 53 или 853) DNS для запроса сервера имен в локальной сети, который затем собирает необходимые ответы через DoH, достигая DoH-серверы в Интернете. Этот метод прозрачен для конечного пользователя.
Установка прокси-сервера DoH в локальной системе. В этом сценарии операционные системы настроены на запрос к локально работающему прокси-серверу DoH. В отличие от ранее упомянутого метода, прокси-сервер необходимо установить в каждой системе, желающей использовать DoH, что может потребовать больших усилий в более крупных средах.
Поддержка программного обеспечения
Операционные системы
Яблоко
iOS 14 и macOS 11 от Apple , выпущенные в конце 2020 года, поддерживают протоколы DoH и DoT . [20] [21] В iOS протоколы можно использовать через профили конфигурации.
Окна
В ноябре 2019 года Microsoft объявила о планах реализовать поддержку зашифрованных протоколов DNS в Microsoft Windows , начиная с DoH. [22] В мае 2020 года Microsoft выпустила сборку Windows 10 Insider Preview Build 19628, которая включала первоначальную поддержку DoH [23], а также инструкции по ее включению через реестр и интерфейс командной строки . [24] В Windows 10 Insider Preview Build 20185 добавлен графический интерфейс пользователя для указания преобразователя DoH. [25] Поддержка DoH не включена в Windows 10 21H2. [26]
Android 11 и более поздних версий поддерживает DNS через HTTP/3 (DoH3), если установлено обновление системы от июля 2022 года. [28]
Рекурсивные преобразователи DNS
СВЯЗЫВАТЬ
BIND 9 , распознаватель DNS с открытым исходным кодом от Internet Systems Consortium, добавил встроенную поддержку DoH в версии 9.17.10. [29]
PowerDNS
DNSdist, DNS-прокси/балансировщик нагрузки с открытым исходным кодом от PowerDNS , добавил встроенную поддержку DoH в версии 1.4.0 в апреле 2019 года. [30]
Несвязанный
Unbound, распознаватель DNS с открытым исходным кодом , созданный NLnet Labs , поддерживает DoH начиная с версии 1.12.0, выпущенной в октябре 2020 года. [31] [32] Впервые он реализовал поддержку шифрования DNS с использованием альтернативного протокола DoT гораздо раньше, начиная с версии 1.4.14, выпущенная в декабре 2011 года. [33] [34] Unbound работает на большинстве операционных систем , включая дистрибутивы Linux , BSD , MacOS и Windows .
Веб-браузеры
Гугл Хром
DNS через HTTPS доступен в Google Chrome 83 или более поздней версии для Windows, Linux и macOS, его можно настроить на странице настроек. Если этот параметр включен и в операционной системе настроен поддерживаемый DNS-сервер, Chrome обновит DNS-запросы для шифрования. [35] Также можно вручную указать предустановленный или собственный сервер DoH для использования в пользовательском интерфейсе. [36]
В сентябре 2020 года Google Chrome для Android начал поэтапное внедрение DNS через HTTPS. Пользователи могут настроить собственный преобразователь или отключить DNS через HTTPS в настройках. [37]
Microsoft Edge поддерживает DNS через HTTPS, что можно настроить на странице настроек. Если эта функция включена и в операционной системе настроен поддерживаемый DNS-сервер, Edge обновит DNS-запросы для шифрования. Также можно вручную указать предустановленный или собственный сервер DoH для использования в пользовательском интерфейсе. [39]
Мозилла Фаерфокс
Пример использования DNS через HTTPS в Firefox 89
В 2018 году Mozilla заключила партнерское соглашение с Cloudflare , чтобы обеспечить DoH для пользователей Firefox , которые его включили (известный как Trusted Recursive Resolver). [40] 25 февраля 2020 года Firefox начал включать DNS через HTTPS для всех пользователей из США, по умолчанию полагаясь на преобразователь Cloudflare. [41]
Опера
Opera поддерживает DoH, который можно настроить на странице настроек браузера. [42] По умолчанию DNS-запросы отправляются на серверы Cloudflare. [43]
Публичные DNS-серверы
Реализации DNS через HTTPS-серверы уже доступны бесплатно некоторыми общедоступными поставщиками DNS.
Рекомендации по реализации
Многие проблемы, связанные с правильным развертыванием DoH, все еще решаются интернет-сообществом, включая, помимо прочего:
Запретить третьим лицам анализировать DNS-трафик в целях безопасности.
Нарушение родительского контроля и фильтров контента на уровне DNS.
DoH может препятствовать анализу и мониторингу DNS-трафика в целях кибербезопасности; DDoS- червь 2019 года Godlua использовал DoH для маскировки подключений к своему серверу управления и контроля. [44] [45]
В январе 2021 года АНБ предостерегло предприятия от использования внешних преобразователей DoH, поскольку они препятствуют фильтрации, проверке и аудиту DNS-запросов. Вместо этого АНБ рекомендует настроить корпоративные преобразователи DoH и заблокировать все известные внешние преобразователи DoH. [46]
Нарушение контентных фильтров
DoH использовался для обхода родительского контроля , который работает на (незашифрованном) стандартном уровне DNS; Circle, маршрутизатор родительского контроля, который использует DNS-запросы для проверки доменов на соответствие черному списку, из-за этого по умолчанию блокирует DoH. [47] Однако существуют DNS-провайдеры, которые предлагают фильтрацию и родительский контроль, а также поддержку DoH путем управления серверами DoH. [48] [49]
Ассоциация интернет-провайдеров (ISPA) — торговая ассоциация, представляющая британских интернет-провайдеров, — а также британская организация Internet Watch Foundation раскритиковали Mozilla , разработчика веб-браузера Firefox , за поддержку Министерства здравоохранения, поскольку они считают, что это подорвет программы веб-блокировки в в стране, включая фильтрацию контента для взрослых по умолчанию интернет-провайдером и обязательную фильтрацию нарушений авторских прав по решению суда. ISPA номинировала Mozilla на премию «Интернет-злодей» за 2019 год (наряду с Директивой ЕС об авторском праве на едином цифровом рынке и Дональдом Трампом ) «за предложенный подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти Обязательства Великобритании по фильтрации и родительскому контролю подрывают стандарты интернет-безопасности в Великобритании». Mozilla ответила на обвинения ISPA, заявив, что это не предотвратит фильтрацию, и что они были «удивлены и разочарованы тем, что отраслевая ассоциация интернет-провайдеров решила исказить информацию об усовершенствовании существующей интернет-инфраструктуры, существующей десятилетиями». [50] [51] В ответ на критику ISPA принесла извинения и отозвала номинацию. [52] [53] Впоследствии Mozilla заявила, что DoH не будет использоваться по умолчанию на британском рынке до дальнейшего обсуждения с соответствующими заинтересованными сторонами, но заявила, что это «предложит реальные преимущества в области безопасности гражданам Великобритании». [54]
^ аб Чиргвин, Ричард (14 декабря 2017 г.). «IETF защищает конфиденциальность и обеспечивает сетевой нейтралитет с помощью DNS через HTTPS». Регистр . Архивировано из оригинала 14 декабря 2017 года . Проверено 21 марта 2018 г.
^ «DNS через HTTPS · Документация Cloudflare 1.1.1.1» . Документы Cloudflare . 17 января 2024 г. Проверено 21 февраля 2024 г.
^ «DNS-over-HTTPS | Публичный DNS | Разработчики Google» . Разработчики Google . Архивировано из оригинала 20 марта 2018 г. Проверено 21 марта 2018 г.– Google предоставляет две конечные точки: одну для своего JSON API 2018 года, другую для API RFC 8484.
^ Чимпану, Каталин (20 марта 2018 г.). «Mozilla тестирует поддержку DNS через HTTPS в Firefox». Мигающий компьютер . Архивировано из оригинала 20 марта 2018 г. Проверено 21 марта 2018 г.
^ «« Давно назревший технологический сдвиг в сторону конфиденциальности в Интернете »: Firefox шифрует доменные имена. Google последует» . Что нового в издательском деле | Новости цифрового издательства . 2020-02-26. Архивировано из оригинала 26 февраля 2020 г. Проверено 26 февраля 2020 г.
^ «Google делает DNS через HTTPS по умолчанию в Chrome» . Расшифровать . 20 мая 2020 г. Проверено 29 марта 2024 г.
^ Клэберн, Томас (20 мая 2020 г.). «Google внедряет поддержку конфиденциальности DNS-over-HTTPS в Chrome 83... с удобным аварийным переключателем для корпоративных ИТ». Регистр . Проверено 3 февраля 2021 г.
^ abc Хоффман, П; Макманус, П. «RFC 8484 - DNS-запросы через HTTPS». datatracker.ietf.org . Архивировано из оригинала 12 декабря 2018 г. Проверено 20 мая 2018 г.
^ «Экспериментирование с обновлением DNS-over-HTTPS от того же провайдера» . Блог Хрома . Архивировано из оригинала 12 сентября 2019 г. Проверено 13 сентября 2019 г.
↑ Декельманн, Селена (6 сентября 2019 г.). «Что дальше, чтобы сделать зашифрованный DNS-over-HTTPS стандартом по умолчанию». Будущие выпуски . Архивировано из оригинала 14 сентября 2019 г. Проверено 13 сентября 2019 г.
^ «О» . Инициатива по развертыванию зашифрованного DNS . Архивировано из оригинала 4 декабря 2019 г. Проверено 13 сентября 2019 г.
^ Гудин, Дэн (08 декабря 2020 г.). «Cloudflare, Apple и другие поддерживают новый способ сделать Интернет более конфиденциальным». Арс Техника . Проверено 14 марта 2021 г.
^ «Cloudflare и Apple разрабатывают новый интернет-протокол, обеспечивающий конфиденциальность» . ТехКранч . 8 декабря 2020 г. Проверено 17 марта 2021 г.
^ Хоффман, П; Макманус, П. «draft-ietf-doh-dns-over-https-08 — DNS-запросы через HTTPS». datatracker.ietf.org . Архивировано из оригинала 25 апреля 2018 г. Проверено 20 мая 2018 г.
↑ Июнь 2020 г., Энтони Спадафора 29 (29 июня 2020 г.). «Устройства Apple получат зашифрованный DNS в iOS 14 и macOS 11». ТехРадар . Архивировано из оригинала 1 июля 2020 г. Проверено 01 июля 2020 г.{{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
^ Чимпану, Каталин. «Apple добавляет поддержку зашифрованного DNS (DoH и DoT)». ЗДНет . Архивировано из оригинала 27 июня 2020 г. Проверено 2 июля 2020 г.
^ Галлахер, Шон (19 ноября 2019 г.). «Microsoft говорит «да» будущим зашифрованным DNS-запросам в Windows». Арс Техника . Архивировано из оригинала 19 ноября 2019 г. Проверено 20 ноября 2019 г.
^ «Анонсируем сборку 19628 для предварительной оценки Windows 10» . 13 мая 2020 года. Архивировано из оригинала 18 мая 2020 года . Проверено 13 мая 2020 г.
^ «Инсайдеры Windows теперь могут тестировать DNS через HTTPS» . 13 мая 2020 г. Архивировано из оригинала 15 мая 2020 г. . Проверено 7 июля 2020 г.
↑ Бринкманн, Мартин (6 августа 2020 г.). «Windows 10 build 20185 поставляется с зашифрованными настройками DNS — gHacks Tech News». Технические новости gHacks . Архивировано из оригинала 15 августа 2020 г. Проверено 6 августа 2020 г.
^ МандиОлингер. «Что нового в Windows 10 версии 21H2 для ИТ-специалистов — Что нового в Windows». docs.microsoft.com . Проверено 9 февраля 2022 г.
^ «Как настроить и использовать DNS-Over-HTTPS (DoH) в Windows 11» . Appuals.com . 28 июля 2021 г. Проверено 20 октября 2021 г.
^ «DNS-over-HTTP/3 в Android» . Блог Google по онлайн-безопасности .
^ Болдариев, Артем (17 февраля 2021 г.). «BIND реализует DoH». Веб-сайт МСК . Консорциум Интернет-систем . Проверено 17 февраля 2021 г.
^ «dnsdist 1.4.0-alpha2 с поддержкой DNS через HTTPS» . Блог PowerDNS . 26 апреля 2019 г. Проверено 10 мая 2021 г.
↑ Вейнгаардс, Воутер (8 октября 2020 г.). «Выпущена Unbound 1.12.0». Лаборатория НЛнет . Проверено 24 октября 2020 г.
↑ Долманс, Ральф (9 октября 2020 г.). «DNS-over-HTTPS в несвязанном режиме». Блог NLnet Labs . Проверено 24 октября 2020 г.
↑ Вейнгаардс, Воутер (19 декабря 2011 г.). «Непривязанный выпуск 1.4.14». Список рассылки для несвязанных пользователей . Проверено 24 октября 2020 г.
^ Вейнгаардс, Воутер. «Поддержка DNS через SSL». Гитхаб . Проверено 24 октября 2020 г.
^ «DNS через HTTPS (также известный как DoH)» . Архивировано из оригинала 27 мая 2020 года . Проверено 23 мая 2020 г.
^ «Chrome 83: начинается развертывание DNS через HTTPS (Secure DNS)» . 20 мая 2020 года. Архивировано из оригинала 1 июня 2020 года . Проверено 20 июля 2020 г.
^ Каталин Чимпану. «В Chrome на Android добавлена поддержка DNS-over-HTTPS (DoH) | ZDNet». ЗДНет . Проверено 3 февраля 2021 г.
^ «DNS через HTTPS (также известный как DoH)» . www.chromium.org . Проверено 5 мая 2022 г.
^ «Как включить DNS-over-HTTPS (DoH) в Windows 10» . Мигающий компьютер . Проверено 23 января 2021 г.
^ Доверенный рекурсивный преобразователь
^ Декельманн, Селена. «Firefox продолжает добиваться внедрения DNS через HTTPS по умолчанию для пользователей из США». Блог Mozilla . Архивировано из оригинала 27 мая 2020 г. Проверено 28 мая 2020 г.
^ "Журнал изменений для 67" . 3 декабря 2019 года . Проверено 23 августа 2020 г. .
^ «Вот как включить DoH в каждом браузере, будь прокляты интернет-провайдеры» . ЗДНет . Архивировано из оригинала 9 июня 2020 года . Проверено 28 мая 2020 г.
^ Чимпану, Каталин. «DNS-over-HTTPS создает больше проблем, чем решает, говорят эксперты». ЗДНет . Архивировано из оригинала 08.11.2019 . Проверено 19 ноября 2019 г.
^ Чимпану, Каталин. «Обнаружен первый в истории штамм вредоносного ПО, злоупотребляющий новым протоколом DoH (DNS через HTTPS)». ЗДНет . Архивировано из оригинала 27 октября 2019 г. Проверено 19 ноября 2019 г.
^ Гудин, Дэн (15 января 2021 г.). «АНБ предупреждает предприятия остерегаться сторонних преобразователей DNS». Арс Техника . Проверено 17 марта 2021 г.
^ «Управление зашифрованными DNS-соединениями (DNS через TLS, DNS через HTTPS) с помощью Circle» . Центр поддержки Круга . Архивировано из оригинала 03 августа 2020 г. Проверено 7 июля 2020 г.
↑ Галлахер, Шон (16 ноября 2017 г.). «Новый DNS-сервис Quad9 блокирует вредоносные домены для всех». Арс Техника . Проверено 14 ноября 2021 г. Система блокирует домены, связанные с ботнетами, фишинговыми атаками и другими вредоносными хостами в Интернете.
^ "СледующийDNS". СледующийDNS . Проверено 16 декабря 2023 г.
^ Чимпану, Каталин. «Группа британских интернет-провайдеров называет Mozilla «интернет-злодеем» за поддержку DNS-over-HTTPS». ЗДНет . Архивировано из оригинала 5 июля 2019 г. Проверено 5 июля 2019 г.
^ «Интернет-группа называет Mozilla «интернет-злодеем» за поддержку функции конфиденциальности DNS» . ТехКранч . 5 июля 2019 года . Проверено 19 июля 2019 г.
^ «Британские интернет-провайдеры борются за то, чтобы сделать Интернет МЕНЬШЕ безопасным» . ЭТО ПРОФЕССИОНАЛЬНО . 14 сентября 2019 года . Проверено 14 сентября 2019 г.
^ Патравала, Фатема (11 июля 2019 г.). «ISPA номинировала Mozilla в категории «Интернет-злодей» за продвижение DNS через HTTPs, отозвала номинации и категорию после негативной реакции сообщества». Пакетный хаб . Архивировано из оригинала 4 декабря 2019 г. Проверено 14 сентября 2019 г.
^ Херн, Алекс (24 сентября 2019 г.). «Firefox: Великобритания не планирует» сделать зашифрованный браузер инструментом по умолчанию». Хранитель . ISSN 0261-3077. Архивировано из оригинала 28 сентября 2019 г. Проверено 29 сентября 2019 г.
Внешние ссылки
Проект конфиденциальности DNS: dnsprivacy.org
Мультяшное введение в DNS через HTTPS
Рекомендации по DNS через HTTPS (DoH) для операторских сетей] (проект, срок действия истек 12 марта 2020 г.)