DNS через HTTPS
Протокол связи | |
Цель | инкапсулировать DNS в HTTPS для обеспечения конфиденциальности и безопасности |
---|---|
Введение | октябрь 2018 г |
Уровень OSI | Прикладной уровень |
RFC(ы) | RFC 8484 |
Интернет-безопасность протоколы |
---|
Управление ключами |
Прикладной уровень |
Система доменных имен |
Интернет-уровень |
DNS через HTTPS ( DoH ) — это протокол для выполнения удаленного разрешения системы доменных имен (DNS) через протокол HTTPS . Целью метода является повышение конфиденциальности и безопасности пользователей за счет предотвращения перехвата и манипулирования данными DNS с помощью атак «человек посередине». [1] используя протокол HTTPS для шифрования данных между клиентом DoH и преобразователем DNS на основе DoH . [2] К марту 2018 года Google и Mozilla Foundation начали тестирование версий DNS через HTTPS. [3] [4] В феврале 2020 года Firefox перешёл на DNS через HTTPS по умолчанию для пользователей в США. [5] В мае 2020 года Chrome по умолчанию перешёл на DNS через HTTPS. [6]
Альтернативой DoH является протокол DNS over TLS (DoT), аналогичный стандарт шифрования DNS- запросов, отличающийся только методами шифрования и доставки. С точки зрения конфиденциальности и безопасности вопрос о превосходстве того или иного протокола является предметом спорных споров, в то время как другие утверждают, что преимущества любого из них зависят от конкретного варианта использования. [7]
Технические детали
[ редактировать ]DoH — это предлагаемый стандарт, опубликованный как RFC 8484 (октябрь 2018 г.) IETF . Он использует HTTPS и поддерживает данные ответа DNS в проводном формате , возвращаемые в существующих ответах UDP, в полезных данных HTTPS с типом MIME application/dns-message . [1] [8] : §4.1 Базовым уровнем HTTP может быть любая версия HTTP, хотя HTTP/2 минимумом является рекомендуемым . [8] : §5.2 Если используется HTTP/2, сервер может также использовать push-уведомление сервера HTTP/2 для отправки значений, которые, по его ожиданиям, могут быть полезны клиенту заранее. [8] : §5.3
DoH находится в стадии разработки. Несмотря на то, что IETF опубликовал RFC 8484 в качестве предлагаемого стандарта, и компании экспериментируют с ним, [9] [10] IETF еще предстоит определить, как лучше всего это реализовать. IETF оценивает ряд подходов к наилучшему развертыванию DoH и [ когда? ] намерен создать рабочую группу Adaptive DNS Discovery (ADD) для выполнения этой работы и достижения консенсуса. Кроме того, были сформированы другие отраслевые рабочие группы, такие как Инициатива по развертыванию зашифрованного DNS , чтобы «определить и внедрить технологии шифрования DNS таким образом, чтобы обеспечить постоянную высокую производительность, отказоустойчивость, стабильность и безопасность критического пространства имен Интернета и служб разрешения имен». , а также обеспечение непрерывной бесперебойной работы средств защиты, родительского контроля и других служб, зависящих от DNS». [11]
Поскольку DoH нельзя использовать при некоторых обстоятельствах, например, на порталах авторизации , веб-браузеры, такие как Firefox, можно настроить на возврат к небезопасному DNS. [12]
Забывчивый DNS через HTTPS
[ редактировать ]Oblivious DNS over HTTPS (ODoH) — это интернет-проект, предлагающий расширение протокола, гарантирующее, что ни один сервер DoH не будет знать как IP-адрес клиента, так и содержимое его DNS-запросов и ответов. Oblivious DoH изначально разрабатывался как Oblivious DNS (ODNS). [13] исследователями из Принстонского университета и Чикагского университета как расширение незашифрованной DNS до того, как сам DoH был стандартизирован и широко распространен. Впоследствии Apple и Cloudflare применили эту технологию в контексте DoH под названием Oblivious DoH (ODoH). [14]
В ODoH и ODNS все DNS-запросы и ответы маршрутизируются через прокси-сервер, скрывая адрес клиента от преобразователя. Запросы и ответы шифруются, чтобы скрыть их содержимое от прокси-сервера, и только преобразователь может расшифровать запросы, а клиент — ответы. Таким образом, прокси-сервер знает адрес клиента, но не запрос, а преобразователь знает запрос, но не адрес клиента, что предотвращает привязку адреса клиента к запросу, если только оба сервера не вступают в сговор. [15] [16] [17] [18]
Сценарии развертывания
[ редактировать ]DoH используется для рекурсивного разрешения DNS преобразователями DNS . Резолверы ( клиенты DoH ) должны иметь доступ к серверу DoH, на котором размещена конечная точка запроса. [19]
Распространены три сценария использования:
- Использование реализации DoH в приложении. Некоторые браузеры имеют встроенную реализацию DoH и, таким образом, могут выполнять запросы, минуя функции DNS операционной системы. Недостаток заключается в том, что приложение может не информировать пользователя, если оно пропускает запрос DoH, либо из-за неправильной конфигурации, либо из-за отсутствия поддержки DoH.
- Установка прокси-сервера DoH на сервере имен в локальной сети. В этом сценарии клиентские системы продолжают использовать традиционный (порт 53 или 853) DNS для запроса сервера имен в локальной сети, который затем собирает необходимые ответы через DoH, достигая DoH-серверы в Интернете. Этот метод прозрачен для конечного пользователя.
- Установка прокси-сервера DoH в локальной системе. В этом сценарии операционные системы настроены на запрос к локально работающему прокси-серверу DoH. В отличие от ранее упомянутого метода, прокси-сервер необходимо установить в каждой системе, желающей использовать DoH, что может потребовать больших усилий в более крупных средах.
Поддержка программного обеспечения
[ редактировать ]Операционные системы
[ редактировать ]Яблоко
[ редактировать ]от Apple iOS 14 и macOS 11 , выпущенные в конце 2020 года, поддерживают протоколы DoH и DoT . [20] [21] В iOS протоколы можно использовать через профили конфигурации.
Окна
[ редактировать ]В ноябре 2019 года Microsoft объявила о планах реализовать поддержку зашифрованных протоколов DNS в Microsoft Windows , начиная с DoH. [22] В мае 2020 года Microsoft выпустила сборку Windows 10 Insider Preview Build 19628, которая включала первоначальную поддержку DoH. [23] вместе с инструкциями о том, как включить его через реестр и интерфейс командной строки . [24] В Windows 10 Insider Preview Build 20185 добавлен графический интерфейс пользователя для указания преобразователя DoH. [25] Поддержка DoH не включена в Windows 10 21H2. [26]
Windows 11 имеет поддержку DoH. [27]
Андроид
[ редактировать ]Android 11 и более поздних версий поддерживает DNS через HTTP/3 (DoH3), если установлено обновление системы от июля 2022 года. [28]
Рекурсивные преобразователи DNS
[ редактировать ]СВЯЗЫВАТЬ
[ редактировать ]BIND 9 , распознаватель DNS с открытым исходным кодом от Internet Systems Consortium, добавил встроенную поддержку DoH в версии 9.17.10. [29]
PowerDNS
[ редактировать ]DNSdist, DNS-прокси/балансировщик нагрузки с открытым исходным кодом от PowerDNS , добавил встроенную поддержку DoH в версии 1.4.0 в апреле 2019 года. [30]
Несвязанный
[ редактировать ]Unbound, распознаватель DNS с открытым исходным кодом, созданный NLnet Labs , поддерживает DoH начиная с версии 1.12.0, выпущенной в октябре 2020 года. [31] [32] Впервые поддержка DNS- шифрования с использованием альтернативного протокола DoT была реализована гораздо раньше, начиная с версии 1.4.14, выпущенной в декабре 2011 года. [33] [34] Unbound работает на большинстве операционных систем , включая дистрибутивы Linux , BSD , MacOS и Windows .
Веб-браузеры
[ редактировать ]Гугл Хром
[ редактировать ]DNS через HTTPS доступен в Google Chrome 83 или более поздней версии для Windows, Linux и macOS, его можно настроить на странице настроек. Если этот параметр включен и в операционной системе настроен поддерживаемый DNS-сервер, Chrome обновит DNS-запросы для шифрования. [35] Также можно вручную указать предустановленный или собственный сервер DoH для использования в пользовательском интерфейсе. [36]
В сентябре 2020 года Google Chrome для Android начал поэтапное внедрение DNS через HTTPS. Пользователи могут настроить собственный преобразователь или отключить DNS через HTTPS в настройках. [37]
В Google Chrome есть 5 предварительно настроенных провайдеров DNS over HTTPS: Google Public DNS , Cloudflare 1.1.1.1 , Quad9 9.9.9.9 , NextDNS и CleanBrowsing . [38]
Microsoft Край
[ редактировать ]Microsoft Edge поддерживает DNS через HTTPS, что можно настроить на странице настроек. Если эта функция включена и в операционной системе настроен поддерживаемый DNS-сервер, Edge обновит DNS-запросы для шифрования. Также можно вручную указать предустановленный или собственный сервер DoH для использования в пользовательском интерфейсе. [39]
Мозилла Фаерфокс
[ редактировать ]В 2018 году Mozilla заключила партнерское соглашение с Cloudflare , чтобы обеспечить DoH для пользователей Firefox , которые его включили (известный как Trusted Recursive Resolver). [40] 25 февраля 2020 года Firefox начал включать DNS через HTTPS для всех пользователей из США, по умолчанию полагаясь на преобразователь Cloudflare. [41]
Опера
[ редактировать ]Opera поддерживает DoH, который можно настроить на странице настроек браузера. [42] По умолчанию DNS-запросы отправляются на серверы Cloudflare. [43]
Публичные DNS-серверы
[ редактировать ]Реализации DNS через HTTPS-серверы уже доступны бесплатно некоторыми общедоступными поставщиками DNS.
Рекомендации по реализации
[ редактировать ]Многие проблемы, связанные с правильным развертыванием DoH, все еще решаются интернет-сообществом, включая, помимо прочего:
- Запретить третьим лицам анализировать DNS-трафик в целях безопасности.
- Нарушение DNS. родительского контроля и фильтров контента на уровне
- Разделение DNS в корпоративных сетях [ нужна ссылка ]
- Локализация CDN [ нужна ссылка ]
Анализ DNS-трафика в целях безопасности
[ редактировать ]DoH может препятствовать анализу и мониторингу DNS-трафика в целях кибербезопасности; червь 2019 года DDoS- Godlua использовал DoH для маскировки подключений к своему серверу управления и контроля. [44] [45]
В январе 2021 года АНБ предостерегло предприятия от использования внешних преобразователей DoH, поскольку они препятствуют фильтрации, проверке и аудиту DNS-запросов. Вместо этого АНБ рекомендует настроить корпоративные преобразователи DoH и заблокировать все известные внешние преобразователи DoH. [46]
Нарушение контентных фильтров
[ редактировать ]DoH использовался для обхода родительского контроля , который работает на (незашифрованном) стандартном уровне DNS; Circle, маршрутизатор родительского контроля, который использует DNS-запросы для проверки доменов на соответствие черному списку, из-за этого по умолчанию блокирует DoH. [47] Однако есть провайдеры DNS, которые предлагают фильтрацию и родительский контроль, а также поддержку DoH путем управления серверами DoH. [48] [49]
Ассоциация интернет-провайдеров (ISPA) — торговая ассоциация, представляющая британских интернет-провайдеров, — а также британская организация Internet Watch Foundation раскритиковали Mozilla , разработчика Firefox веб-браузера , за поддержку Министерства здравоохранения, поскольку они считают, что это подорвет программы веб-блокировки в в стране, включая фильтрацию контента для взрослых по умолчанию интернет-провайдером и обязательную фильтрацию нарушений авторских прав по решению суда. ISPA номинировала Mozilla на премию «Интернет-злодей» за 2019 год (наряду с Директивой ЕС об авторском праве на едином цифровом рынке и Дональдом Трампом ) «за предложенный подход к внедрению DNS поверх HTTPS таким образом, чтобы обойти Обязательства Великобритании по фильтрации и родительскому контролю подрывают стандарты интернет-безопасности в Великобритании». Mozilla ответила на обвинения ISPA, заявив, что это не предотвратит фильтрацию, и что они были «удивлены и разочарованы тем, что отраслевая ассоциация интернет-провайдеров решила исказить информацию об усовершенствовании существующей интернет-инфраструктуры, существующей десятилетиями». [50] [51] В ответ на критику ISPA извинилась и отозвала свою кандидатуру. [52] [53] Впоследствии Mozilla заявила, что DoH не будет использоваться по умолчанию на британском рынке до дальнейшего обсуждения с соответствующими заинтересованными сторонами, но заявила, что это «предложит реальные преимущества в области безопасности гражданам Великобритании». [54]
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Jump up to: а б Чиргвин, Ричард (14 декабря 2017 г.). «IETF защищает конфиденциальность и обеспечивает сетевой нейтралитет с помощью DNS через HTTPS» . Регистр . Архивировано из оригинала 14 декабря 2017 года . Проверено 21 марта 2018 г.
- ^ «DNS через HTTPS · Документация Cloudflare 1.1.1.1» . Документы Cloudflare . 17 января 2024 г. Проверено 21 февраля 2024 г.
- ^ «DNS-over-HTTPS | Публичный DNS | Разработчики Google» . Разработчики Google . Архивировано из оригинала 20 марта 2018 г. Проверено 21 марта 2018 г. – Google предоставляет две конечные точки: одну для своего JSON API 2018 года, другую для API RFC 8484.
- ^ Чимпану, Каталин (20 марта 2018 г.). «Mozilla тестирует поддержку DNS через HTTPS в Firefox» . Мигающий компьютер . Архивировано из оригинала 20 марта 2018 г. Проверено 21 марта 2018 г.
- ^ « Давно назревший технологический сдвиг в сторону конфиденциальности в Интернете»: Firefox шифрует доменные имена. Google последует за ним» . Что нового в издательском деле | Новости цифрового издательства . 26 февраля 2020 г. Архивировано из оригинала 26 февраля 2020 г. Проверено 26 февраля 2020 г.
- ^ «Google делает DNS Over HTTPS по умолчанию в Chrome» . Расшифровать . 20 мая 2020 г. Проверено 29 марта 2024 г.
- ^ Клэберн, Томас (20 мая 2020 г.). «Google внедряет поддержку конфиденциальности DNS-over-HTTPS в Chrome 83… с удобным аварийным переключателем для корпоративных ИТ-специалистов» . Регистр . Проверено 3 февраля 2021 г.
- ^ Jump up to: а б с Хоффман, П; Макманус, П. «RFC 8484 — DNS-запросы через HTTPS» . datatracker.ietf.org . Архивировано из оригинала 12 декабря 2018 г. Проверено 20 мая 2018 г.
- ^ «Экспериментирование с обновлением DNS-over-HTTPS от того же провайдера» . Блог Хрома . Архивировано из оригинала 12 сентября 2019 г. Проверено 13 сентября 2019 г.
- ^ Декельманн, Селена (6 сентября 2019 г.). «Что дальше сделать зашифрованным DNS-over-HTTPS по умолчанию» . Будущие выпуски . Архивировано из оригинала 14 сентября 2019 г. Проверено 13 сентября 2019 г.
- ^ "О" . Инициатива по развертыванию зашифрованной DNS . Архивировано из оригинала 4 декабря 2019 г. Проверено 13 сентября 2019 г.
- ^ Улучшение конфиденциальности DNS в Firefox.
- ^ Шмитт, Пол; Эдмундсон, Энн; Фимстер, Ник (2019). «Забывчивый DNS: практическая конфиденциальность DNS-запросов» (PDF) . Технологии повышения конфиденциальности . 2019 (2): 228–244. arXiv : 1806.00276 . дои : 10.2478/popets-2019-0028 . S2CID 44126163 .
- ^ «Забывчивый DNS, развернутый Cloudflare и Apple» . 9 декабря 2020 г. Проверено 27 июля 2022 г.
- ^ Макманус, Патрик; Вуд, Кристофер; Киннер, Эрик; Поли, Томми. «Забывчивый DNS через HTTPS» . Ietf Datatracker . Проверено 17 марта 2021 г.
- ^ Синганамалла, Судиш; Чунхапанья, Суфанат; Вавруша, Марек; Верма, Таня; Ву, Питер; Файед, Марван; Хеймерль, Куртис; Салливан, Ник; Вуд, Кристофер (2020). «Забывчивый DNS через HTTPS (ODoH): практическое улучшение конфиденциальности DNS». arXiv : 2011.10121 [ cs.CR ].
- ^ Гудин, Дэн (08 декабря 2020 г.). «Cloudflare, Apple и другие поддерживают новый способ сделать Интернет более конфиденциальным» . Арс Техника . Проверено 14 марта 2021 г.
- ^ «Cloudflare и Apple разрабатывают новый интернет-протокол, обеспечивающий конфиденциальность» . ТехКранч . 8 декабря 2020 г. Проверено 17 марта 2021 г.
- ^ Хоффман, П; Макманус, П. «draft-ietf-doh-dns-over-https-08 — DNS-запросы через HTTPS» . datatracker.ietf.org . Архивировано из оригинала 25 апреля 2018 г. Проверено 20 мая 2018 г.
- ^ Июнь 2020 г., Энтони Спадафора 29 (29 июня 2020 г.). «Устройства Apple получат зашифрованный DNS в iOS 14 и macOS 11» . ТехРадар . Архивировано из оригинала 1 июля 2020 г. Проверено 01 июля 2020 г.
{{cite web}}
: CS1 maint: числовые имена: список авторов ( ссылка ) - ^ Чимпану, Каталин. «Apple добавляет поддержку зашифрованного DNS (DoH и DoT)» . ЗДНет . Архивировано из оригинала 27 июня 2020 г. Проверено 2 июля 2020 г.
- ^ Галлахер, Шон (19 ноября 2019 г.). «Microsoft говорит «да» будущим зашифрованным DNS-запросам в Windows» . Арс Техника . Архивировано из оригинала 19 ноября 2019 г. Проверено 20 ноября 2019 г.
- ^ «Анонсируем сборку Windows 10 Insider Preview Build 19628» . 13 мая 2020 года. Архивировано из оригинала 18 мая 2020 года . Проверено 13 мая 2020 г.
- ^ «Инсайдеры Windows теперь могут тестировать DNS через HTTPS» . 13 мая 2020 г. Архивировано из оригинала 15 мая 2020 г. . Проверено 7 июля 2020 г.
- ^ Бринкманн, Мартин (6 августа 2020 г.). «Windows 10 сборки 20185 поставляется с зашифрованными настройками DNS — gHacks Tech News» . Технические новости gHacks . Архивировано из оригинала 15 августа 2020 г. Проверено 6 августа 2020 г.
- ^ МандиОлингер. «Что нового в Windows 10 версии 21H2 для ИТ-специалистов — Что нового в Windows» . docs.microsoft.com . Проверено 9 февраля 2022 г.
- ^ «Как настроить и использовать DNS-Over-HTTPS (DoH) в Windows 11» . Appuals.com . 28 июля 2021 г. Проверено 20 октября 2021 г.
- ^ «DNS-over-HTTP/3 в Android» . Блог Google по онлайн-безопасности .
- ^ Болдариев Артем (17 февраля 2021 г.). «BIND реализует DoH» . Веб-сайт МСК . Консорциум Интернет-систем . Проверено 17 февраля 2021 г.
- ^ «dnsdist 1.4.0-alpha2 с поддержкой DNS через HTTPS» . Блог PowerDNS . 26 апреля 2019 г. Проверено 10 мая 2021 г.
- ^ Вейнгаардс, Воутер (8 октября 2020 г.). «Выпущена Unbound 1.12.0» . Лаборатория НЛнет . Проверено 24 октября 2020 г.
- ^ Долманс, Ральф (9 октября 2020 г.). «DNS-over-HTTPS в несвязанном режиме» . Блог NLnet Labs . Проверено 24 октября 2020 г.
- ^ Вейнгаардс, Воутер (19 декабря 2011 г.). «Непривязанный выпуск 1.4.14» . Список рассылки для несвязанных пользователей . Проверено 24 октября 2020 г.
- ^ Вейнгаардс, Воутер. «Поддержка DNS через SSL» . Гитхаб . Проверено 24 октября 2020 г.
- ^ «DNS поверх HTTPS (он же DoH)» . Архивировано из оригинала 27 мая 2020 года . Проверено 23 мая 2020 г.
- ^ «Chrome 83: начинается развертывание DNS через HTTPS (Secure DNS)» . 20 мая 2020 года. Архивировано из оригинала 1 июня 2020 года . Проверено 20 июля 2020 г.
- ^ Каталин Чимпану. «В Chrome на Android добавлена поддержка DNS-over-HTTPS (DoH)» . ЗДНет . Проверено 3 февраля 2021 г.
- ^ «DNS поверх HTTPS (он же DoH)» . www.chromium.org . Проверено 5 мая 2022 г.
- ^ «Как включить DNS-over-HTTPS (DoH) в Windows 10» . Мигающий компьютер . Проверено 23 января 2021 г.
- ^ Доверенный рекурсивный преобразователь
- ^ Декельманн, Селена. «Firefox продолжает продвигать внедрение DNS через HTTPS по умолчанию для пользователей из США» . Блог Mozilla . Архивировано из оригинала 27 мая 2020 г. Проверено 28 мая 2020 г.
- ^ «Изменения для 67» . 3 декабря 2019 года . Проверено 23 августа 2020 г. .
- ^ «Вот как включить DoH в каждом браузере, черт возьми, интернет-провайдеры» . ЗДНет . Архивировано из оригинала 9 июня 2020 года . Проверено 28 мая 2020 г.
- ^ Чимпану, Каталин. «DNS-over-HTTPS создает больше проблем, чем решает, говорят эксперты» . ЗДНет . Архивировано из оригинала 08.11.2019 . Проверено 19 ноября 2019 г.
- ^ Чимпану, Каталин. «Обнаружен первый в истории штамм вредоносного ПО, злоупотребляющий новым протоколом DoH (DNS через HTTPS)» . ЗДНет . Архивировано из оригинала 27 октября 2019 г. Проверено 19 ноября 2019 г.
- ^ Гудин, Дэн (15 января 2021 г.). «АНБ предупреждает предприятия остерегаться сторонних преобразователей DNS» . Арс Техника . Проверено 17 марта 2021 г.
- ^ «Управление зашифрованными DNS-соединениями (DNS через TLS, DNS через HTTPS) с помощью Circle» . Центр поддержки Круга . Архивировано из оригинала 03 августа 2020 г. Проверено 7 июля 2020 г.
- ^ Галлахер, Шон (16 ноября 2017 г.). «Новый DNS-сервис Quad9 блокирует вредоносные домены для всех» . Арс Техника . Проверено 14 ноября 2021 г.
Система блокирует домены, связанные с ботнетами, фишинговыми атаками и другими вредоносными хостами в Интернете.
- ^ «НекстДНС» . СледующийDNS . Проверено 16 декабря 2023 г.
- ^ Чимпану, Каталин. «Группа британских интернет-провайдеров назвала Mozilla «интернет-злодеем» за поддержку DNS-over-HTTPS » . ЗДНет . Архивировано из оригинала 5 июля 2019 г. Проверено 5 июля 2019 г.
- ^ «Интернет-группа называет Mozilla «интернет-злодеем» за поддержку функции конфиденциальности DNS» . ТехКранч . 5 июля 2019 года . Проверено 19 июля 2019 г.
- ^ «Британские интернет-провайдеры борются за то, чтобы сделать Интернет МЕНЬШЕ безопасным» . ЭТО ПРОФЕССИОНАЛЬНО . 14 сентября 2019 года . Проверено 14 сентября 2019 г.
- ^ Патравала, Фатема (11 июля 2019 г.). «ISPA номинировала Mozilla в категории «Интернет-злодей» за продвижение DNS через HTTPs, отозвала номинацию и категорию после негативной реакции сообщества» . Пакетный хаб . Архивировано из оригинала 4 декабря 2019 г. Проверено 14 сентября 2019 г.
- ^ Херн, Алекс (24 сентября 2019 г.). «Firefox: Великобритания не планирует делать зашифрованный браузер инструментом по умолчанию» . Хранитель . ISSN 0261-3077 . Архивировано из оригинала 28 сентября 2019 г. Проверено 29 сентября 2019 г.
Внешние ссылки
[ редактировать ]- Проект конфиденциальности DNS: dnsprivacy.org
- Мультяшное введение в DNS через HTTPS
- Рекомендации по DNS через HTTPS (DoH) для операторских сетей] (проект, срок действия истек 12 марта 2020 г.)