DNS через HTTPS

Протокол для выполнения DNS-запросов по HTTPS

DNS через HTTPS ( DoH ) — это протокол для выполнения удаленного разрешения доменных имен (DNS) через протокол HTTPS . Целью этого метода является повышение конфиденциальности и безопасности пользователей путем предотвращения перехвата и манипулирования данными DNS с помощью атак типа «человек посередине» ^[1] путем использования протокола HTTPS для шифрования данных между клиентом DoH и DNS-резолвером на основе DoH . ^[2] К марту 2018 года Google и Mozilla Foundation начали тестирование версий DNS через HTTPS. ^{[3] [4]} В феврале 2020 года Firefox перешел на DNS через HTTPS по умолчанию для пользователей в Соединенных Штатах. ^[5] В мае 2020 года Chrome перешел на DNS через HTTPS по умолчанию. ^[6]

Альтернативой DoH является протокол DNS over TLS (DoT), аналогичный стандарт для шифрования DNS- запросов, отличающийся только методами, используемыми для шифрования и доставки. Исходя из конфиденциальности и безопасности, является ли какой-либо протокол лучшим, является предметом спорных дебатов, в то время как другие утверждают, что достоинства любого из них зависят от конкретного варианта использования. ^[7]

Технические подробности

DoH — это предлагаемый стандарт, опубликованный IETF как RFC  8484 (октябрь 2018 г.) . Он использует HTTPS и поддерживает данные ответа DNS в формате wire , возвращаемые в существующих ответах UDP, в полезной нагрузке HTTPS с типом MIME application/dns-message . ^{[1] [8] : §4.1} Базовым уровнем HTTP может быть любая версия HTTP, хотя рекомендуемым минимумом является HTTP/2 . ^{[8] : §5.2} Если используется HTTP/2, сервер также может использовать HTTP/2 server push для отправки значений, которые, как он ожидает, клиент может счесть полезными заранее. ^{[8] : §5.3}

DoH находится в процессе разработки. Несмотря на то, что IETF опубликовал RFC 8484 в качестве предлагаемого стандарта, и компании экспериментируют с ним, ^{[9] [10]} IETF еще не определил, как его лучше всего реализовать. IETF оценивает ряд подходов к тому, как лучше всего развернуть DoH, и ^{[ когда? ]} планирует создать рабочую группу Adaptive DNS Discovery (ADD) для выполнения этой работы и выработки консенсуса. Кроме того, были сформированы другие отраслевые рабочие группы, такие как Encrypted DNS Deployment Initiative, для «определения и принятия технологий шифрования DNS таким образом, чтобы обеспечить постоянную высокую производительность, отказоустойчивость, стабильность и безопасность критически важного пространства имен Интернета и служб разрешения имен, а также гарантировать постоянную ненарушенную функциональность средств защиты безопасности, родительского контроля и других служб, зависящих от DNS». ^[11]

Поскольку DoH не может использоваться при некоторых обстоятельствах, например, при использовании порталов авторизации , веб-браузеры, такие как Firefox, можно настроить на использование небезопасного DNS. ^[12]

Незаметный DNS через HTTPS

Oblivious DNS over HTTPS (ODoH) — экспериментальный стандарт, опубликованный как RFC  9230 (июнь 2022 г.) IETF, предлагающий расширение протокола, гарантирующее, что ни один сервер DoH не будет знать ни IP-адрес клиента, ни содержимое его DNS-запросов и ответов. Oblivious DoH изначально был разработан как Oblivious DNS (ODNS) ^[13] исследователями из Принстонского университета и Чикагского университета в качестве расширения незашифрованного DNS, до того как сам DoH был стандартизирован и широко развернут. Apple и Cloudflare впоследствии развернули технологию в контексте DoH как Oblivious DoH (ODoH). ^[14]

В ODoH и ODNS все запросы и ответы DNS направляются через прокси, скрывая адрес клиента от резолвера. Запросы и ответы шифруются, чтобы скрыть их содержимое от прокси, и только резолвер может расшифровать запросы, а клиент — ответы. Таким образом, прокси знает адрес клиента и резолвер, но не запрос, а резолвер знает прокси и запрос, но не адрес клиента, предотвращая привязку адреса клиента к запросу, если только прокси-сервер и резолвер не вступят в сговор. ^{[15] [16] [17] [18]}

Сценарии развертывания

DoH используется для рекурсивного разрешения DNS DNS-резолверами . Резолверы ( клиенты DoH ) должны иметь доступ к серверу DoH, на котором размещена конечная точка запроса. ^[19]

Распространены три сценария использования:

• Использование реализации DoH в приложении: Некоторые браузеры имеют встроенную реализацию DoH и могут выполнять запросы, обходя функциональность DNS операционной системы. Недостатком является то, что приложение может не информировать пользователя, если оно пропускает запросы DoH, либо из-за неправильной конфигурации, либо из-за отсутствия поддержки DoH.
• Установка DoH-прокси на сервере имен в локальной сети: В этом сценарии клиентские системы продолжают использовать традиционный (порт 53 или 853) DNS для запроса сервера имен в локальной сети, который затем соберет необходимые ответы через DoH, достигнув DoH-серверов в Интернете. Этот метод прозрачен для конечного пользователя.
• Установка прокси DoH на локальной системе: в этом сценарии операционные системы настроены на запрос локально работающего прокси DoH. В отличие от ранее упомянутого метода, прокси необходимо установить на каждой системе, желающей использовать DoH, что может потребовать больших усилий в более крупных средах.

Поддержка программного обеспечения

Операционные системы

Яблоко

iOS 14 и macOS 11 от Apple , выпущенные в конце 2020 года, поддерживают протоколы DoH и DoT . ^{[20] [21]} В iOS протоколы можно использовать через профили конфигурации.

Окна

В ноябре 2019 года Microsoft объявила о планах по внедрению поддержки зашифрованных протоколов DNS в Microsoft Windows , начиная с DoH. ^[22] В мае 2020 года Microsoft выпустила Windows 10 Insider Preview Build 19628, которая включала начальную поддержку DoH ^[23] вместе с инструкциями о том, как включить ее через реестр и интерфейс командной строки . ^[24] В Windows 10 Insider Preview Build 20185 добавлен графический пользовательский интерфейс для указания преобразователя DoH. ^[25] Поддержка DoH не включена в Windows 10 21H2. ^[26]

Windows 11 поддерживает DoH. ^[27]

андроид

Android 11 и более поздние версии поддерживают DNS через HTTP/3 (DoH3), если установлено обновление системы за июль 2022 года. ^[28]

Рекурсивные DNS-резолверы

СВЯЗЫВАТЬ

BIND 9 , DNS-резолвер с открытым исходным кодом от Internet Systems Consortium, добавил собственную поддержку DoH в версии 9.17.10. ^[29]

PowerDNS

DNSdist, DNS-прокси/балансировщик нагрузки с открытым исходным кодом от PowerDNS , добавил собственную поддержку DoH в версии 1.4.0 в апреле 2019 года. ^[30]

Несвязанный

Unbound, DNS-резолвер с открытым исходным кодом , созданный NLnet Labs , поддерживает DoH с версии 1.12.0, выпущенной в октябре 2020 года. ^{[31] [32]} Впервые поддержка шифрования DNS с использованием альтернативного протокола DoT была реализована гораздо раньше, начиная с версии 1.4.14, выпущенной в декабре 2011 года. ^{[33] [34]} Unbound работает на большинстве операционных систем , включая дистрибутивы Linux , BSD , MacOS и Windows .

Веб-браузеры

Гугл Хром

DNS через HTTPS доступен в Google Chrome 83 или более поздней версии для Windows, Linux и macOS, настраивается через страницу настроек. Если эта функция включена и операционная система настроена с поддерживаемым DNS-сервером, Chrome обновит DNS-запросы для шифрования. ^[35] Также можно вручную указать предустановленный или пользовательский DoH-сервер для использования в пользовательском интерфейсе. ^[36]

В сентябре 2020 года Google Chrome для Android начал поэтапное развертывание DNS через HTTPS. Пользователи могут настроить собственный преобразователь или отключить DNS через HTTPS в настройках. ^[37]

В Google Chrome предварительно настроено 5 поставщиков DNS через HTTPS: Google Public DNS , Cloudflare 1.1.1.1 , Quad9 9.9.9.9 , NextDNS и CleanBrowsing . ^[38]

Microsoft Эдж

Microsoft Edge поддерживает DNS через HTTPS, настраиваемый на странице настроек. Если эта функция включена и операционная система настроена на поддерживаемый DNS-сервер, Edge обновит DNS-запросы для шифрования. Также можно вручную указать предустановленный или пользовательский DoH-сервер для использования в пользовательском интерфейсе. ^[39]

Мозилла Фаерфокс

Пример использования DNS через HTTPS в Firefox 89

В 2018 году Mozilla заключила партнерское соглашение с Cloudflare , чтобы предоставить DoH для пользователей Firefox , которые его активируют (известный как Trusted Recursive Resolver). ^[40] 25 февраля 2020 года Firefox начал включать DNS через HTTPS для всех пользователей из США, полагаясь по умолчанию на resolver Cloudflare. ^[41]

Опера

Opera поддерживает DoH, настраиваемый на странице настроек браузера. ^[42] По умолчанию DNS-запросы отправляются на серверы Cloudflare. ^[43]

Публичные DNS-серверы

Реализации DNS-серверов поверх HTTPS уже доступны бесплатно у некоторых публичных DNS-провайдеров.

Соображения по реализации

Многие вопросы, связанные с правильным развертыванием DoH, все еще решаются интернет-сообществом, включая, помимо прочего:

• Запрет третьим лицам анализировать DNS-трафик в целях безопасности
• Нарушение родительского контроля и контент-фильтров на уровне DNS
• Разделение DNS в корпоративных сетях ^{[ требуется ссылка ]}
• Локализация CDN ^{[ требуется ссылка ]}

Анализ DNS-трафика в целях безопасности

DoH может препятствовать анализу и мониторингу трафика DNS в целях кибербезопасности; DDoS- червь Godlua 2019 года использовал DoH для маскировки подключений к своему командно-контрольному серверу. ^{[44] [45]}

В январе 2021 года АНБ предостерегло предприятия от использования внешних резолверов DoH, поскольку они мешают фильтрации, проверке и аудиту DNS-запросов. Вместо этого АНБ рекомендует настроить корпоративные резолверы DoH и заблокировать все известные внешние резолверы DoH. ^[46]

Нарушение работы контент-фильтров

DoH использовался для обхода родительского контроля , который работает на (незашифрованном) стандартном уровне DNS; Circle, маршрутизатор родительского контроля, который использует DNS-запросы для проверки доменов по списку блокировки, блокирует DoH по умолчанию из-за этого. ^[47] Однако существуют поставщики DNS, которые предлагают фильтрацию и родительский контроль вместе с поддержкой DoH, работая с серверами DoH. ^{[48] [49]}

Ассоциация поставщиков интернет-услуг (ISPA) — торговая ассоциация, представляющая британских интернет-провайдеров, — а также британская организация Internet Watch Foundation раскритиковали Mozilla , разработчика веб-браузера Firefox , за поддержку DoH, поскольку они считают, что это подорвет программы веб-блокировки в стране, включая фильтрацию взрослого контента по умолчанию интернет-провайдерами и обязательную фильтрацию нарушений авторских прав по решению суда. ISPA номинировала Mozilla на премию «Интернет-злодей» за 2019 год (наряду с Директивой ЕС об авторском праве на едином цифровом рынке и Дональдом Трампом ) «за предложенный ими подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти обязательства Великобритании по фильтрации и родительский контроль, подрывая стандарты безопасности интернета в Великобритании». Mozilla ответила на обвинения ISPA, заявив, что это не предотвратит фильтрацию, и что они «удивлены и разочарованы тем, что отраслевая ассоциация интернет-провайдеров решила неверно представить улучшение десятилетней интернет-инфраструктуры». ^{[50] [51]} В ответ на критику ISPA извинилась и отозвала номинацию. ^{[52] [53]} Mozilla впоследствии заявила, что DoH не будет использоваться по умолчанию на британском рынке до дальнейшего обсуждения с соответствующими заинтересованными сторонами, но заявила, что это «даст реальные преимущества в плане безопасности гражданам Великобритании». ^[54]

Смотрите также

• DNS через TLS
• DNSCrypt
• DNSCurve
• Подсеть клиента EDNS

Ссылки

1. Chirgwin, Richard (14 декабря 2017 г.). «IETF защищает конфиденциальность и помогает сетевому нейтралитету с DNS через HTTPS». The Register . Архивировано из оригинала 14 декабря 2017 г. Получено 21.03.2018 .
2. "DNS через HTTPS · Cloudflare 1.1.1.1 docs". Cloudflare Docs . 2024-01-17 . Получено 2024-02-21 .
3. "DNS-over-HTTPS | Public DNS | Google Developers". Google Developers . Архивировано из оригинала 2018-03-20 . Получено 21-03-2018 .– Google предоставляет две конечные точки: одну для API JSON 2018 года и одну для API RFC 8484.
4. Cimpanu, Catalin (2018-03-20). "Mozilla тестирует поддержку "DNS через HTTPS" в Firefox". BleepingComputer . Архивировано из оригинала 20-03-2018 . Получено 21-03-2018 .
5. ""Давно назревший технологический сдвиг в сторону конфиденциальности в Интернете": Firefox шифрует доменные имена. Google последует его примеру". Что нового в издательском деле | Новости цифрового издательства . 2020-02-26. Архивировано из оригинала 2020-02-26 . Получено 2020-02-26 .
6. "Google делает DNS через HTTPS по умолчанию в Chrome". Расшифровать . 2020-05-20 . Получено 2024-03-29 .
7. Клэберн, Томас (2020-05-20). «Google внедряет поддержку DNS-over-HTTPS для обеспечения конфиденциальности в Chrome 83... с удобным выключателем для корпоративных ИТ». The Register . Получено 03.02.2021 .
8. Хоффман, П; Макманус, П. "RFC 8484 - DNS-запросы по HTTPS". datatracker.ietf.org . Архивировано из оригинала 2018-12-12 . Получено 2018-05-20 .
9. "Эксперименты с обновлением DNS-over-HTTPS того же провайдера". Блог Chromium . Архивировано из оригинала 2019-09-12 . Получено 2019-09-13 .
10. Декельманн, Селена (6 сентября 2019 г.). «Что дальше в том, чтобы сделать Encrypted DNS-over-HTTPS по умолчанию». Будущие релизы . Архивировано из оригинала 2019-09-14 . Получено 2019-09-13 .
11. "О проекте". Encrypted DNS Deployment Initiative . Архивировано из оригинала 2019-12-04 . Получено 2019-09-13 .
12. Улучшение конфиденциальности DNS в Firefox
13. Шмитт, Пол; Эдмундсон, Энн; Фимстер, Ник (2019). «Забывчивый DNS: практическая конфиденциальность для DNS-запросов» (PDF) . Технологии повышения конфиденциальности . 2019 (2): 228–244. arXiv : 1806.00276 . doi : 10.2478/popets-2019-0028. S2CID  44126163.
14. «Cloudflare и Apple развернули Oblivious DNS». 9 декабря 2020 г. Получено 27 июля 2022 г.
15. Макманус, Патрик; Вуд, Кристофер; Киннер, Эрик; Поли, Томми. «Забывчивый DNS через HTTPS». Ietf Datatracker . Получено 17.03.2021 .
16. Синганамалла, Судхиш; Чунхапанья, Суфанат; Вавруша, Марек; Верма, Таня; Ву, Питер; Файед, Марван; Хеймерль, Куртис; Салливан, Ник; Вуд, Кристофер (2020). «Забывчивый DNS через HTTPS (ODoH): практическое улучшение конфиденциальности DNS». arXiv : 2011.10121 [cs.CR].
17. Гудин, Дэн (2020-12-08). «Cloudflare, Apple и другие поддерживают новый способ сделать Интернет более приватным». Ars Technica . Получено 2021-03-14 .
18. "Cloudflare и Apple разрабатывают новый интернет-протокол, обеспечивающий конфиденциальность". TechCrunch . 8 декабря 2020 г. Получено 17 марта 2021 г.
19. Хоффман, П.; Макманус, П. "draft-ietf-doh-dns-over-https-08 - DNS-запросы через HTTPS". datatracker.ietf.org . Архивировано из оригинала 2018-04-25 . Получено 2018-05-20 .
20. Июнь 2020 г., Энтони Спадафора 29 (29 июня 2020 г.). «Устройства Apple получат зашифрованный DNS в iOS 14 и macOS 11». TechRadar . Архивировано из оригинала 2020-07-01 . Получено 2020-07-01 .{{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
21. Cimpanu, Catalin. "Apple добавляет поддержку зашифрованного DNS (DoH и DoT)". ZDNet . Архивировано из оригинала 2020-06-27 . Получено 2020-07-02 .
22. Галлахер, Шон (19.11.2019). «Microsoft говорит «да» будущим зашифрованным DNS-запросам в Windows». Ars Technica . Архивировано из оригинала 19.11.2019 . Получено 20.11.2019 .
23. "Анонс Windows 10 Insider Preview Build 19628". 13 мая 2020 г. Архивировано из оригинала 18 мая 2020 г. Получено 13 мая 2020 г.
24. «Участники программы предварительной оценки Windows теперь могут тестировать DNS через HTTPS». 13 мая 2020 г. Архивировано из оригинала 15 мая 2020 г. Получено 7 июля 2020 г.
25. Бринкманн, Мартин (6 августа 2020 г.). "Windows 10 build 20185 поставляется с зашифрованными настройками DNS - gHacks Tech News". gHacks Tech News . Архивировано из оригинала 2020-08-15 . Получено 2020-08-06 .
26. MandiOhlinger. "Что нового в Windows 10, версия 21H2 для ИТ-специалистов - Что нового в Windows". docs.microsoft.com . Получено 2022-02-09 .
27. «Как настроить и использовать DNS-Over-HTTPS (DoH) в Windows 11». Appuals.com . 2021-07-28 . Получено 2021-10-20 .
28. "DNS-over-HTTP/3 в Android". Блог Google Online Security .
29. Болдариев, Артем (17 февраля 2021 г.). «BIND реализует DoH». Веб-сайт ISC . Консорциум интернет-систем . Получено 17 февраля 2021 г.
30. "dnsdist 1.4.0-alpha2 с поддержкой DNS через HTTPS". Блог PowerDNS . 2019-04-26 . Получено 2021-05-10 .
31. Вейнгаардс, Воутер (8 октября 2020 г.). «Выпущена Unbound 1.12.0». Лаборатория НЛнет . Проверено 24 октября 2020 г.
32. Долманс, Ральф (9 октября 2020 г.). «DNS-over-HTTPS in Unbound». Блог NLnet Labs . Получено 24 октября 2020 г.
33. Wijngaards, Wouter (19 декабря 2011 г.). "Unbound 1.4.14 release". Список рассылки Unbound-users . Получено 24 октября 2020 г.
34. Вейнгаардс, Воутер. «Поддержка DNS через SSL». Гитхаб . Проверено 24 октября 2020 г.
35. "DNS over HTTPS (aka DoH)". Архивировано из оригинала 27 мая 2020 г. Получено 23 мая 2020 г.
36. "Chrome 83: начинается развертывание DNS через HTTPS (защищенный DNS)". 20 мая 2020 г. Архивировано из оригинала 1 июня 2020 г. Получено 20 июля 2020 г.
37. Catalin Cimpanu. "Поддержка DNS-over-HTTPS (DoH) добавлена ​​в Chrome на Android". ZDNet . Получено 2021-02-03 .
38. "DNS через HTTPS (он же DoH)". www.chromium.org . Получено 2022-05-05 .
39. "Как включить DNS-over-HTTPS (DoH) в Windows 10". BleepingComputer . Получено 2021-01-23 .
40. Доверенный рекурсивный распознаватель
41. Декельманн, Селена. «Firefox продолжает продвигать DNS через HTTPS по умолчанию для пользователей из США». Блог Mozilla . Архивировано из оригинала 27-05-2020 . Получено 28-05-2020 .
42. "Changelog for 67". 3 декабря 2019 г. Получено 23 августа 2020 г.
43. "Вот как включить DoH в каждом браузере, к черту интернет-провайдеров". ZDNet . Архивировано из оригинала 9 июня 2020 г. . Получено 28 мая 2020 г. .
44. Cimpanu, Catalin. «DNS-over-HTTPS вызывает больше проблем, чем решает, говорят эксперты». ZDNet . Архивировано из оригинала 2019-11-08 . Получено 2019-11-19 .
45. Cimpanu, Catalin. "Первый штамм вредоносного ПО, обнаруженный при злоупотреблении новым протоколом DoH (DNS через HTTPS)". ZDNet . Архивировано из оригинала 2019-10-27 . Получено 2019-11-19 .
46. Гудин, Дэн (15.01.2021). «АНБ предупреждает предприятия остерегаться сторонних DNS-резолверов». Ars Technica . Получено 17.03.2021 .
47. "Управление зашифрованными DNS-подключениями (DNS через TLS, DNS через HTTPS) с помощью Circle". Центр поддержки Circle . Архивировано из оригинала 2020-08-03 . Получено 2020-07-07 .
48. Галлахер, Шон (16 ноября 2017 г.). «Новая служба DNS Quad9 блокирует вредоносные домены для всех». Ars Technica . Получено 14 ноября 2021 г. Система блокирует домены, связанные с ботнетами, фишинговыми атаками и другими вредоносными интернет-хостами.
49. "NextDNS". NextDNS . Получено 2023-12-16 .
50. Cimpanu, Catalin. "Группа британских интернет-провайдеров называет Mozilla "интернет-злодеем" за поддержку "DNS-over-HTTPS"". ZDNet . Архивировано из оригинала 2019-07-05 . Получено 2019-07-05 .
51. «Интернет-группа называет Mozilla «интернет-злодеем» за поддержку функции конфиденциальности DNS». TechCrunch . 5 июля 2019 г. Получено 19 июля 2019 г.
52. "Британские интернет-провайдеры борются за то, чтобы сделать Интернет МЕНЕЕ безопасным". IT PRO . 14 сентября 2019 г. Получено 14 сентября 2019 г.
53. Патравала, Фатема (11.07.2019). «ISPA номинировала Mozilla в категории «Интернет-злодей» за поддержку DNS через HTTPs, отозвала номинации и категорию после негативной реакции сообщества». Packt Hub . Архивировано из оригинала 04.12.2019 . Получено 14.09.2019 .
54. Херн, Алекс (24.09.2019). «Firefox: «нет планов Великобритании» сделать зашифрованный браузер инструментом по умолчанию». The Guardian . ISSN  0261-3077. Архивировано из оригинала 28.09.2019 . Получено 29.09.2019 .

Внешние ссылки

• Проект конфиденциальности DNS: dnsprivacy.org
• Мультяшное введение в DNS через HTTPS
• [Соображения по DNS через HTTPS (DoH) для сетей операторов] (черновик, срок действия истек 12 марта 2020 г.)