Инженерный совет Интернета (Internet Engineering Task Force, IETF)
вынес на общественное обсуждение проект стандарта DNS-over-HTTPS, закрепив тем самым его официальный статус. Документ за авторством Ларса Хоффмана (Lars Hoffmann) из ICANN и Патрика Макмануса (Patrick McManus) из Mozilla получил индекс RFC 8484. Сторонники альтернативного протокола DNS-over-TLS предупреждают, что выбор HTTPS для защиты доменных запросов может привести к определенным рискам в области информационной безопасности.
Протокол системы доменных имен (Domain Name System, DNS) — это одна из основополагающих интернет-технологий, которая позволяет браузеру находить веб-страницы, преобразовывая URL в IP-адрес нужного ресурса. Разработчики DNS в 80-х годах не задумывались о шифровании трафика — Интернет представлял собой закрытую среду с небольшим количеством участников, о современных угрозах тогда не подозревали. Как следствие, даже сейчас программный клиент отправляет DNS-запросы в виде простого текста, а внешние акторы, будь то интернет-провайдер или прослушивающий сеть злоумышленник, могут их перехватывать, менять и возвращать поддельные ответы.
Манипуляции с DNS-запросами позволяют мошенникам
заманивать пользователей на вредоносные страницы, чтобы
заражать устройства зловредами, красть конфиденциальную информацию или показывать агрессивную рекламу. Авторитарные правительства используют эти технологии, чтобы следить за гражданскими активистами и блокировать доступ к нежелательным сайтам.
Для борьбы с подобными действиями интернет-специалисты предлагают шифровать DNS-запросы, скрывая их содержание от посторонних лиц. Экспертное сообщество разделилось на два лагеря: одни склоняются к передаче данных по протоколу защиты транспортного уровня (Transport Layer Security, TLS), вторые делают ставку на HTTPS.
Оба варианта гарантируют целостность и конфиденциальность пользовательских данных, однако разница в технических подходах не позволяет сделать однозначный выбор. Так, стандарт DoH, который только что получил одобрение IETF, обеспечивает сквозное шифрование DNS-запросов. В этом случае прочитать их не сможет никто, кроме DNS-клиента и DNS-сервера. От системных администраторов, киберпреступников, правительственных агентов и т. д. их содержание будет скрыто. Связь между клиентом и сервером по этому протоколу осуществляется через стандартный порт для HTTPS-трафика.
Многие видные специалисты указывают на противоречия между DoH и основополагающими принципами организации Интернета. Один из создателей DNS Пол Викси (Paul Vixie)
высказался по поводу решения IETF категорично:
«RFC 8484 — это чушь с точки зрения интернет-безопасности. Извините, что порчу вам настроение. Психи захватили больницу».
Эксперт подчеркнул, что внедрение этой технологии не позволит эффективно контролировать происходящее в частных и закрытых сетях. Так, родители не смогут ограничивать доступ своих детей к сайтам для взрослых, а системные администраторы компаний — защитить сотрудников от посещения вредоносных площадок.
В свою очередь, DoT тоже предполагает передачу зашифрованных запросов, но через выделенный порт 853. Противники этого подхода указывают на то, что сторонние участники могут отслеживать использование защищенного канала и при необходимости заблокировать его.
Применение же DoH позволяет спрятать запросы в общем HTTPS-трафике. Внешний актор будет вынужден ограничивать передачу на уровне интернет-провайдера или сети доставки контента (Content Distribution Network). Это потребует множества ресурсов и привлечет общественное внимание.
Единственное, в чем сходятся все оппоненты, — интернет-отрасль слишком долго игнорировала проблемы с безопасностью DNS, и каким бы ни оказался финальный выбор, сделать его нужно как можно скорее.
На данный момент оба стандарта фактически имеют одинаковую силу, и решение в пользу одного из вариантов примет рынок. Такие крупные игроки, как
Mozilla Foundation и
облачный провайдер Cloudfare, уже заявили о поддержке DoH.
Линейный вид
