stringtranslate.com

DNS через HTTPS

DNS через HTTPS ( DoH ) — это протокол для выполнения удаленного разрешения системы доменных имен (DNS) через протокол HTTPS . Целью метода является повышение конфиденциальности и безопасности пользователей за счет предотвращения прослушивания и манипулирования данными DNS с помощью атак «человек посередине» [1] за счет использования протокола HTTPS для шифрования данных между клиентом DoH и сервером на основе DoH. DNS-преобразователь . [2] К марту 2018 года Google и Mozilla Foundation начали тестирование версий DNS через HTTPS. [3] [4] В феврале 2020 года Firefox перешёл на DNS через HTTPS по умолчанию для пользователей в США. [5] В мае 2020 года Chrome по умолчанию перешёл на DNS через HTTPS. [6]

Альтернативой DoH является протокол DNS over TLS (DoT), аналогичный стандарт шифрования DNS- запросов, отличающийся только методами, используемыми для шифрования и доставки. С точки зрения конфиденциальности и безопасности вопрос о превосходстве любого из протоколов является предметом спорных споров, в то время как другие утверждают, что преимущества любого из них зависят от конкретного варианта использования. [7]

Технические детали

DoH — это предлагаемый стандарт, опубликованный IETF как RFC 8484 (октябрь 2018 г. ) . Он использует HTTPS и поддерживает данные ответов DNS в проводном формате , возвращаемые в существующих ответах UDP, в полезных данных HTTPS с типом MIME application/dns-message . [1] [8] : §4.1  Базовый уровень HTTP может быть любой версией HTTP, хотя рекомендуемым минимумом является HTTP/2 . [8] : §5.2  Если используется HTTP/2, сервер может также использовать push-уведомление сервера HTTP/2 для отправки значений, которые, как он ожидает, клиент может найти полезными заранее. [8] : §5.3 

DoH находится в стадии разработки. Несмотря на то, что IETF опубликовал RFC 8484 в качестве предлагаемого стандарта, и компании экспериментируют с ним, [9] [10] IETF еще предстоит определить, как его лучше всего реализовать. IETF оценивает ряд подходов к тому, как лучше всего развернуть DoH, и [ когда? ] собираюсь создать рабочую группу Adaptive DNS Discovery (ADD) для выполнения этой работы и достижения консенсуса. Кроме того, были сформированы другие отраслевые рабочие группы, такие как Инициатива по развертыванию зашифрованного DNS, чтобы «определить и внедрить технологии шифрования DNS таким образом, чтобы обеспечить постоянную высокую производительность, отказоустойчивость, стабильность и безопасность критического пространства имен Интернета и служб разрешения имен». , а также обеспечение непрерывной бесперебойной работы средств защиты, родительского контроля и других служб, зависящих от DNS». [11]

Поскольку DoH нельзя использовать при некоторых обстоятельствах, например, на авторизованных порталах , веб-браузеры, такие как Firefox, можно настроить на возврат к небезопасному DNS. [12]

Забывчивый DNS через HTTPS

Oblivious DNS over HTTPS (ODoH) — это Интернет-проект , предлагающий расширение протокола, гарантирующее, что ни один сервер DoH не будет знать как IP-адрес клиента, так и содержимое его DNS-запросов и ответов. Oblivious DoH был первоначально разработан как Oblivious DNS (ODNS) [13] исследователями из Принстонского университета и Чикагского университета как расширение незашифрованного DNS, прежде чем сам DoH был стандартизирован и широко развернут. Впоследствии Apple и Cloudflare применили эту технологию в контексте DoH под названием Oblivious DoH (ODoH). [14]

В ODoH и ODNS все DNS-запросы и ответы маршрутизируются через прокси-сервер, скрывая адрес клиента от преобразователя. Запросы и ответы шифруются, чтобы скрыть их содержимое от прокси, и только преобразователь может расшифровать запросы, а клиент — ответы. Таким образом, прокси-сервер знает адрес клиента, но не запрос, а распознаватель знает запрос, но не адрес клиента, что предотвращает привязку адреса клиента к запросу, если только оба сервера не вступают в сговор. [15] [16] [17] [18]

Сценарии развертывания

DoH используется для рекурсивного разрешения DNS преобразователями DNS . Резолверы ( клиенты DoH ) должны иметь доступ к серверу DoH, на котором размещена конечная точка запроса. [19]

Распространены три сценария использования:

Поддержка программного обеспечения

Операционные системы

Яблоко

iOS 14 и macOS 11 от Apple , выпущенные в конце 2020 года, поддерживают протоколы DoH и DoT . [20] [21] В iOS протоколы можно использовать через профили конфигурации.

Окна

В ноябре 2019 года Microsoft объявила о планах реализовать поддержку зашифрованных протоколов DNS в Microsoft Windows , начиная с DoH. [22] В мае 2020 года Microsoft выпустила сборку Windows 10 Insider Preview Build 19628, которая включала первоначальную поддержку DoH [23], а также инструкции по ее включению через реестр и интерфейс командной строки . [24] В Windows 10 Insider Preview Build 20185 добавлен графический интерфейс пользователя для указания преобразователя DoH. [25] Поддержка DoH не включена в Windows 10 21H2. [26]

Windows 11 поддерживает DoH. [27]

Андроид

Android 11 и более поздних версий поддерживает DNS через HTTP/3 (DoH3), если установлено обновление системы от июля 2022 года. [28]

Рекурсивные преобразователи DNS

СВЯЗЫВАТЬ

BIND 9 , распознаватель DNS с открытым исходным кодом от Internet Systems Consortium, добавил встроенную поддержку DoH в версии 9.17.10. [29]

PowerDNS

DNSdist, DNS-прокси/балансировщик нагрузки с открытым исходным кодом от PowerDNS , добавил встроенную поддержку DoH в версии 1.4.0 в апреле 2019 года. [30]

Несвязанный

Unbound, распознаватель DNS с открытым исходным кодом , созданный NLnet Labs , поддерживает DoH начиная с версии 1.12.0, выпущенной в октябре 2020 года. [31] [32] Впервые он реализовал поддержку шифрования DNS с использованием альтернативного протокола DoT гораздо раньше, начиная с версии 1.4.14, выпущенная в декабре 2011 года. [33] [34] Unbound работает на большинстве операционных систем , включая дистрибутивы Linux , BSD , MacOS и Windows .

Веб-браузеры

Гугл Хром

DNS через HTTPS доступен в Google Chrome 83 или более поздней версии для Windows, Linux и macOS, его можно настроить на странице настроек. Если этот параметр включен и в операционной системе настроен поддерживаемый DNS-сервер, Chrome обновит DNS-запросы для шифрования. [35] Также можно вручную указать предустановленный или собственный сервер DoH для использования в пользовательском интерфейсе. [36]

В сентябре 2020 года Google Chrome для Android начал поэтапное внедрение DNS через HTTPS. Пользователи могут настроить собственный преобразователь или отключить DNS через HTTPS в настройках. [37]

В Google Chrome есть 5 предварительно настроенных провайдеров DNS over HTTPS: Google Public DNS , Cloudflare 1.1.1.1 , Quad9 9.9.9.9 , NextDNS и CleanBrowsing . [38]

Microsoft Край

Microsoft Edge поддерживает DNS через HTTPS, что можно настроить на странице настроек. Если эта функция включена и в операционной системе настроен поддерживаемый DNS-сервер, Edge обновит DNS-запросы для шифрования. Также можно вручную указать предустановленный или собственный сервер DoH для использования в пользовательском интерфейсе. [39]

Мозилла Фаерфокс

Пример использования DNS через HTTPS в Firefox 89

В 2018 году Mozilla заключила партнерское соглашение с Cloudflare , чтобы обеспечить DoH для пользователей Firefox , которые его включили (известный как Trusted Recursive Resolver). [40] 25 февраля 2020 года Firefox начал включать DNS через HTTPS для всех пользователей из США, по умолчанию полагаясь на преобразователь Cloudflare. [41]

Опера

Opera поддерживает DoH, который можно настроить на странице настроек браузера. [42] По умолчанию DNS-запросы отправляются на серверы Cloudflare. [43]

Публичные DNS-серверы

Реализации DNS через HTTPS-серверы уже доступны бесплатно некоторыми общедоступными поставщиками DNS.

Рекомендации по реализации

Многие проблемы, связанные с правильным развертыванием DoH, все еще решаются интернет-сообществом, включая, помимо прочего:

Анализ DNS-трафика в целях безопасности

DoH может препятствовать анализу и мониторингу DNS-трафика в целях кибербезопасности; DDoS- червь 2019 года Godlua использовал DoH для маскировки подключений к своему серверу управления и контроля. [44] [45]

В январе 2021 года АНБ предостерегло предприятия от использования внешних преобразователей DoH, поскольку они препятствуют фильтрации, проверке и аудиту DNS-запросов. Вместо этого АНБ рекомендует настроить корпоративные преобразователи DoH и заблокировать все известные внешние преобразователи DoH. [46]

Нарушение контентных фильтров

DoH использовался для обхода родительского контроля , который работает на (незашифрованном) стандартном уровне DNS; Circle, маршрутизатор родительского контроля, который использует DNS-запросы для проверки доменов на соответствие черному списку, из-за этого по умолчанию блокирует DoH. [47] Однако существуют DNS-провайдеры, которые предлагают фильтрацию и родительский контроль, а также поддержку DoH путем управления серверами DoH. [48] ​​[49]

Ассоциация интернет-провайдеров (ISPA) — торговая ассоциация, представляющая британских интернет-провайдеров, — а также британская организация Internet Watch Foundation раскритиковали Mozilla , разработчика веб-браузера Firefox , за поддержку Министерства здравоохранения, поскольку они считают, что это подорвет программы веб-блокировки в в стране, включая фильтрацию контента для взрослых по умолчанию интернет-провайдером и обязательную фильтрацию нарушений авторских прав по решению суда. ISPA номинировала Mozilla на премию «Интернет-злодей» за 2019 год (наряду с Директивой ЕС об авторском праве на едином цифровом рынке и Дональдом Трампом ) «за предложенный подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти Обязательства Великобритании по фильтрации и родительскому контролю подрывают стандарты интернет-безопасности в Великобритании». Mozilla ответила на обвинения ISPA, заявив, что это не предотвратит фильтрацию, и что они были «удивлены и разочарованы тем, что отраслевая ассоциация интернет-провайдеров решила исказить информацию об усовершенствовании существующей интернет-инфраструктуры, существующей десятилетиями». [50] [51] В ответ на критику ISPA принесла извинения и отозвала номинацию. [52] [53] Впоследствии Mozilla заявила, что DoH не будет использоваться по умолчанию на британском рынке до дальнейшего обсуждения с соответствующими заинтересованными сторонами, но заявила, что это «предложит реальные преимущества в области безопасности гражданам Великобритании». [54]

Смотрите также

Рекомендации

  1. ^ аб Чиргвин, Ричард (14 декабря 2017 г.). «IETF защищает конфиденциальность и обеспечивает сетевой нейтралитет с помощью DNS через HTTPS». Регистр . Архивировано из оригинала 14 декабря 2017 года . Проверено 21 марта 2018 г.
  2. ^ «DNS через HTTPS · Документация Cloudflare 1.1.1.1» . Документы Cloudflare . 17 января 2024 г. Проверено 21 февраля 2024 г.
  3. ^ «DNS-over-HTTPS | Публичный DNS | Разработчики Google» . Разработчики Google . Архивировано из оригинала 20 марта 2018 г. Проверено 21 марта 2018 г.– Google предоставляет две конечные точки: одну для своего JSON API 2018 года, другую для API RFC 8484.
  4. ^ Чимпану, Каталин (20 марта 2018 г.). «Mozilla тестирует поддержку DNS через HTTPS в Firefox». Мигающий компьютер . Архивировано из оригинала 20 марта 2018 г. Проверено 21 марта 2018 г.
  5. ^ «« Давно назревший технологический сдвиг в сторону конфиденциальности в Интернете »: Firefox шифрует доменные имена. Google последует» . Что нового в издательском деле | Новости цифрового издательства . 2020-02-26. Архивировано из оригинала 26 февраля 2020 г. Проверено 26 февраля 2020 г.
  6. ^ «Google делает DNS через HTTPS по умолчанию в Chrome» . Расшифровать . 20 мая 2020 г. Проверено 29 марта 2024 г.
  7. ^ Клэберн, Томас (20 мая 2020 г.). «Google внедряет поддержку конфиденциальности DNS-over-HTTPS в Chrome 83... с удобным аварийным переключателем для корпоративных ИТ». Регистр . Проверено 3 февраля 2021 г.
  8. ^ abc Хоффман, П; Макманус, П. «RFC 8484 - DNS-запросы через HTTPS». datatracker.ietf.org . Архивировано из оригинала 12 декабря 2018 г. Проверено 20 мая 2018 г.
  9. ^ «Экспериментирование с обновлением DNS-over-HTTPS от того же провайдера» . Блог Хрома . Архивировано из оригинала 12 сентября 2019 г. Проверено 13 сентября 2019 г.
  10. Декельманн, Селена (6 сентября 2019 г.). «Что дальше, чтобы сделать зашифрованный DNS-over-HTTPS стандартом по умолчанию». Будущие выпуски . Архивировано из оригинала 14 сентября 2019 г. Проверено 13 сентября 2019 г.
  11. ^ «О» . Инициатива по развертыванию зашифрованного DNS . Архивировано из оригинала 4 декабря 2019 г. Проверено 13 сентября 2019 г.
  12. ^ Улучшение конфиденциальности DNS в Firefox.
  13. ^ Шмитт, Пол; Эдмундсон, Энн; Фимстер, Ник (2019). «Забывчивый DNS: практическая конфиденциальность DNS-запросов» (PDF) . Технологии повышения конфиденциальности . 2019 (2): 228–244. arXiv : 1806.00276 . doi : 10.2478/popets-2019-0028. S2CID  44126163.
  14. ^ «Забывчивый DNS, развернутый Cloudflare и Apple» . 9 декабря 2020 г. Проверено 27 июля 2022 г.
  15. ^ Макманус, Патрик; Вуд, Кристофер; Киннер, Эрик; Поли, Томми. «Забывчивый DNS через HTTPS». Ietf Datatracker . Проверено 17 марта 2021 г.
  16. ^ Синганамалла, Судхиш; Чунхапанья, Суфанат; Вавруша, Марек; Верма, Таня; Ву, Питер; Файед, Марван; Хеймерль, Куртис; Салливан, Ник; Вуд, Кристофер (2020). «Забывчивый DNS через HTTPS (ODoH): практическое улучшение конфиденциальности DNS». arXiv : 2011.10121 [cs.CR].
  17. ^ Гудин, Дэн (08 декабря 2020 г.). «Cloudflare, Apple и другие поддерживают новый способ сделать Интернет более конфиденциальным». Арс Техника . Проверено 14 марта 2021 г.
  18. ^ «Cloudflare и Apple разрабатывают новый интернет-протокол, обеспечивающий конфиденциальность» . ТехКранч . 8 декабря 2020 г. Проверено 17 марта 2021 г.
  19. ^ Хоффман, П; Макманус, П. «draft-ietf-doh-dns-over-https-08 — DNS-запросы через HTTPS». datatracker.ietf.org . Архивировано из оригинала 25 апреля 2018 г. Проверено 20 мая 2018 г.
  20. Июнь 2020 г., Энтони Спадафора 29 (29 июня 2020 г.). «Устройства Apple получат зашифрованный DNS в iOS 14 и macOS 11». ТехРадар . Архивировано из оригинала 1 июля 2020 г. Проверено 01 июля 2020 г.{{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
  21. ^ Чимпану, Каталин. «Apple добавляет поддержку зашифрованного DNS (DoH и DoT)». ЗДНет . Архивировано из оригинала 27 июня 2020 г. Проверено 2 июля 2020 г.
  22. ^ Галлахер, Шон (19 ноября 2019 г.). «Microsoft говорит «да» будущим зашифрованным DNS-запросам в Windows». Арс Техника . Архивировано из оригинала 19 ноября 2019 г. Проверено 20 ноября 2019 г.
  23. ^ «Анонсируем сборку 19628 для предварительной оценки Windows 10» . 13 мая 2020 года. Архивировано из оригинала 18 мая 2020 года . Проверено 13 мая 2020 г.
  24. ^ «Инсайдеры Windows теперь могут тестировать DNS через HTTPS» . 13 мая 2020 г. Архивировано из оригинала 15 мая 2020 г. . Проверено 7 июля 2020 г.
  25. Бринкманн, Мартин (6 августа 2020 г.). «Windows 10 build 20185 поставляется с зашифрованными настройками DNS — gHacks Tech News». Технические новости gHacks . Архивировано из оригинала 15 августа 2020 г. Проверено 6 августа 2020 г.
  26. ^ МандиОлингер. «Что нового в Windows 10 версии 21H2 для ИТ-специалистов — Что нового в Windows». docs.microsoft.com . Проверено 9 февраля 2022 г.
  27. ^ «Как настроить и использовать DNS-Over-HTTPS (DoH) в Windows 11» . Appuals.com . 28 июля 2021 г. Проверено 20 октября 2021 г.
  28. ^ «DNS-over-HTTP/3 в Android» . Блог Google по онлайн-безопасности .
  29. ^ Болдариев, Артем (17 февраля 2021 г.). «BIND реализует DoH». Веб-сайт МСК . Консорциум Интернет-систем . Проверено 17 февраля 2021 г.
  30. ^ «dnsdist 1.4.0-alpha2 с поддержкой DNS через HTTPS» . Блог PowerDNS . 26 апреля 2019 г. Проверено 10 мая 2021 г.
  31. Вейнгаардс, Воутер (8 октября 2020 г.). «Выпущена Unbound 1.12.0». Лаборатория НЛнет . Проверено 24 октября 2020 г.
  32. Долманс, Ральф (9 октября 2020 г.). «DNS-over-HTTPS в несвязанном режиме». Блог NLnet Labs . Проверено 24 октября 2020 г.
  33. Вейнгаардс, Воутер (19 декабря 2011 г.). «Непривязанный выпуск 1.4.14». Список рассылки для несвязанных пользователей . Проверено 24 октября 2020 г.
  34. ^ Вейнгаардс, Воутер. «Поддержка DNS через SSL». Гитхаб . Проверено 24 октября 2020 г.
  35. ^ «DNS через HTTPS (также известный как DoH)» . Архивировано из оригинала 27 мая 2020 года . Проверено 23 мая 2020 г.
  36. ^ «Chrome 83: начинается развертывание DNS через HTTPS (Secure DNS)» . 20 мая 2020 года. Архивировано из оригинала 1 июня 2020 года . Проверено 20 июля 2020 г.
  37. ^ Каталин Чимпану. «В Chrome на Android добавлена ​​поддержка DNS-over-HTTPS (DoH) | ZDNet». ЗДНет . Проверено 3 февраля 2021 г.
  38. ^ «DNS через HTTPS (также известный как DoH)» . www.chromium.org . Проверено 5 мая 2022 г.
  39. ^ «Как включить DNS-over-HTTPS (DoH) в Windows 10» . Мигающий компьютер . Проверено 23 января 2021 г.
  40. ^ Доверенный рекурсивный преобразователь
  41. ^ Декельманн, Селена. «Firefox продолжает добиваться внедрения DNS через HTTPS по умолчанию для пользователей из США». Блог Mozilla . Архивировано из оригинала 27 мая 2020 г. Проверено 28 мая 2020 г.
  42. ^ "Журнал изменений для 67" . 3 декабря 2019 года . Проверено 23 августа 2020 г. .
  43. ^ «Вот как включить DoH в каждом браузере, будь прокляты интернет-провайдеры» . ЗДНет . Архивировано из оригинала 9 июня 2020 года . Проверено 28 мая 2020 г.
  44. ^ Чимпану, Каталин. «DNS-over-HTTPS создает больше проблем, чем решает, говорят эксперты». ЗДНет . Архивировано из оригинала 08.11.2019 . Проверено 19 ноября 2019 г.
  45. ^ Чимпану, Каталин. «Обнаружен первый в истории штамм вредоносного ПО, злоупотребляющий новым протоколом DoH (DNS через HTTPS)». ЗДНет . Архивировано из оригинала 27 октября 2019 г. Проверено 19 ноября 2019 г.
  46. ^ Гудин, Дэн (15 января 2021 г.). «АНБ предупреждает предприятия остерегаться сторонних преобразователей DNS». Арс Техника . Проверено 17 марта 2021 г.
  47. ^ «Управление зашифрованными DNS-соединениями (DNS через TLS, DNS через HTTPS) с помощью Circle» . Центр поддержки Круга . Архивировано из оригинала 03 августа 2020 г. Проверено 7 июля 2020 г.
  48. Галлахер, Шон (16 ноября 2017 г.). «Новый DNS-сервис Quad9 блокирует вредоносные домены для всех». Арс Техника . Проверено 14 ноября 2021 г. Система блокирует домены, связанные с ботнетами, фишинговыми атаками и другими вредоносными хостами в Интернете.
  49. ^ "СледующийDNS". СледующийDNS . Проверено 16 декабря 2023 г.
  50. ^ Чимпану, Каталин. «Группа британских интернет-провайдеров называет Mozilla «интернет-злодеем» за поддержку DNS-over-HTTPS». ЗДНет . Архивировано из оригинала 5 июля 2019 г. Проверено 5 июля 2019 г.
  51. ^ «Интернет-группа называет Mozilla «интернет-злодеем» за поддержку функции конфиденциальности DNS» . ТехКранч . 5 июля 2019 года . Проверено 19 июля 2019 г.
  52. ^ «Британские интернет-провайдеры борются за то, чтобы сделать Интернет МЕНЬШЕ безопасным» . ЭТО ПРОФЕССИОНАЛЬНО . 14 сентября 2019 года . Проверено 14 сентября 2019 г.
  53. ^ Патравала, Фатема (11 июля 2019 г.). «ISPA номинировала Mozilla в категории «Интернет-злодей» за продвижение DNS через HTTPs, отозвала номинации и категорию после негативной реакции сообщества». Пакетный хаб . Архивировано из оригинала 4 декабря 2019 г. Проверено 14 сентября 2019 г.
  54. ^ Херн, Алекс (24 сентября 2019 г.). «Firefox: Великобритания не планирует» сделать зашифрованный браузер инструментом по умолчанию». Хранитель . ISSN  0261-3077. Архивировано из оригинала 28 сентября 2019 г. Проверено 29 сентября 2019 г.

Внешние ссылки