/ photo Martinelle PD
DNSの問題
DNSプロトコルは、ユーザーからサーバーへの要求とそれらへの応答を暗号化しません。 データはテキストとしてブロードキャストされます。 したがって、リクエストには、ユーザーがアクセスしているホスト名が含まれます。 これにより、通信チャネルを「盗聴」し、保護されていない個人データを傍受する機会が与えられます。
DNS over HTTPSの本質は何ですか
状況を改善するために、標準はHTTPS over DNS、または「DNS over HTTPS」を提案しました。 IETF は 2017年5月に作業を開始しました 。 ドメイン名およびIPアドレス管理会社であるICANNのPaul Hoffmanと、MozillaのPatrick McManusが共同執筆しました。
DoHの特徴は、IPアドレスを決定する要求がDNSサーバーに送信されず、HTTPSトラフィックにカプセル化されてHTTPサーバーに送信され、APIを使用して特別なリゾルバーがそれらを処理することです。 DNSトラフィックは通常のHTTPSトラフィックとして偽装され、クライアントとサーバーの通信はHTTPSの標準であるポート443を介して行われ、リクエストの内容とDoHの使用の事実は隠されたままです。
RFC 8484では、Engineering Council は DoHを使用してexample.com に DNSクエリの例を提供しています。 GETメソッドを使用したリクエストは次のとおりです。
:method = GET :scheme = https :authority = dnsserver.example.net :path = /dns-query?dns=AAABAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB accept = application/dns-message
POSTを使用した同様のリクエスト:
:method = POST :scheme = https :authority = dnsserver.example.net :path = /dns-query accept = application/dns-message content-type = application/dns-message content-length = 33 <33 bytes represented by the following hex encoding> 00 00 01 00 00 01 00 00 00 00 00 00 03 77 77 77 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00 01
IT業界の多くの代表者がIETF標準をサポートするために前進しています。 たとえば 、ジェフヒューストン、APNICインターネットレジストラの主任研究員。
プロトコルの開発は、大規模なインターネット企業によってサポートされていました。 年の初め(プロトコルがまだドラフト段階にあった)以来、DoHはGoogle / AlphabetとMozillaによってテストされています。 アルファベット部門の1つは、ユーザーのDNSトラフィックを暗号化するためのイントラアプリケーションをリリースしました。 Mozilla Firefoxブラウザーは、今年6月からHTTPS over DNSをサポートしています。
DoHはDNSサービス( CloudflareとQuad9)も導入しました 。 Cloudflareは最近、AndroidおよびiOSで新しいプロトコルを使用するためのアプリケーション( これはHabréの記事でした )をリリースしました。 自身のデバイス(アドレス127.0.0.1)へのVPNとして機能します。 DNSクエリはDoHを使用してCloudflareに送信され始め、トラフィックは「通常の」ルートを通ります。
DoHをサポートするブラウザーとクライアントのリストはGitHubにあります 。
DoH規格に対する批判
すべての業界参加者がIETFの決定に積極的に応答したわけではありません。 標準の反対者は、DoHは間違った方向への一歩であり、接続セキュリティのレベルを下げるだけだと考えています。 DNSシステムの開発者の1人であるPaul Vixieは、新しいプロトコルについて最も鋭く語りました。 彼のTwitterアカウントで、彼は DoHを「情報セキュリティに関してまったくナンセンス」 と呼びました 。
彼の意見では、この新技術はネットワークの運用を効果的に制御しないだろう。 たとえば、システム管理者は潜在的に悪意のあるサイトをブロックできず、通常のユーザーはブラウザでのペアレンタルコントロールの可能性を奪われます。
/写真TheAndrasBarta PD
DoHの反対者は、異なるアプローチ-DNS over TLSまたはDoTの使用を提案します 。 この技術はIETF標準として受け入れられており、 RFC 7858およびRFC 8310で説明されています 。 DoHと同様に、DoTプロトコルは要求の内容を隠しますが、HTTPSを介して送信するのではなく、TLSを使用します。 DNSサーバーに接続するには、別のポート-853が使用されます。このため、DoHの場合のように、DNSクエリの送信は非表示になりません。
DoTテクノロジーも批判されています。 特に、専門家は、プロトコルが専用ポートで動作するという事実により、サードパーティは安全なチャネルの使用を監視し、必要に応じてそれをブロックできるようになります。
次にプロトコルを待つもの
専門家によると、DNSクエリを保護する方法のどれがより一般的になるかはまだ明確ではありません。
Cloudflare、Quad9、およびAlphabetは両方の標準をサポートするようになりました。 上記のアプリケーションでDoH AlphabetがIntraを使用する場合、Android Pieのトラフィックを保護するためにDoTプロトコルが使用されました。 Googleは、Google Public DNSにDoHおよびDoTのサポートも含めました。2番目の標準の実装はまったく発表されていませんでした。
レジスターは 、DoTとDoHの間の最終的な選択はユーザーとプロバイダーに依存することを書いており、現在どの標準も明確な利点はありません。 特に、IT専門家によると、実際にDoHプロトコルを広く採用するには、数十年かかるでしょう 。
PS IaaS企業ブログのその他の資料:
PPS Telegramのチャネル -仮想化技術について: