С момента появления этот протокол вызывает разногласия в ИТ-сообществе. Одни считают, что DoH повышает безопасность подключений, другие — что он лишь усложняет работу сисадминам. Но несмотря на полярность точек зрения, DoH использует все больше приложений. Рассказываем, что к чему.
Спорная технология
DNS-over-HTTPS критикуют регуляторы, телекомы, представители интернет-регистраторов и даже сам автор системы доменных имен. Среди аргументов — усложнение администрирования и задержки в сетях доставки контента. В то же время отдельные реализации протокола игнорируют правила, описанные в /etc/nsswitch.conf. Так, управление DNS переходит с уровня операционной системы на уровень приложений, что может привести к неразберихе между сервисами.
Также есть мнение, что протокол создает угрозу утечек персональных данных. DNS-over-HTTPS шифрует информацию о посещаемых ресурсах, но она по-прежнему доступна серверу, обрабатывающему запрос. В этом контексте возникает проблема доверия к DoH-провайдеру. Это одна из причин, почему Агентство национальной безопасности США рекомендует не использовать DNS-over-HTTPS в корпоративных сетях и обратить внимание на self-hosted решения.
Небольшие подвижки
Резкие высказывания в адрес технологии, вероятно, затормозили её распространение. Сегодня «классический» DNS-трафик в три раза превышает объемы зашифрованного. Однако ситуация постепенно меняется. По данным крупных интернет-провайдеров и ИБ-компаний, за последние годы трафик DoH вырос. Это заметно в Бразилии, США, Италии, Аргентине и Испании (стр.10).
Восходящий тренд связан с активацией DNS-over-HTTPS по умолчанию в крупных браузерах. Так, в 2019-м разработчики Firefox включили новый протокол для американских пользователей, а в этом году — для юзеров из Канады. Во втором случае проект реализовали в партнерстве с DoH-провайдером CIRA. По словам представителей «огненной лисы», компания не хранит логи дольше суток, не передает данные пользователей третьим лицам и в обязательном порядке применяет технологию DNS Query Name Minimisation (RFC 7816).
Возможность работы с DNS-over-HTTPS также добавили в Chrome, Edge и Brave. Соответствующую функциональность внедряют и в прошивки роутеров — как коммерческие, так и открытые вроде OpenWRT.
Развитию технологии способствуют и энтузиасты. В сентябре инженеры из APNIC просканировали пространство адресов IPv4 в поисках открытых портов 443, протестировали их специальным скриптом и нашли более 930 DoH-резолверов, четверть из которых развёрнута на домашних серверах и, вероятно, используются в частных проектах [эти системы не имели записей зон обратного просмотра].
Другие варианты
DoH будет внедрять все больше разработчиков. Но не факт, что именно он станет «финальным» решением для шифрования DNS-запросов. Помимо DNS-over-TLS, который мы упоминали в одном из прошлых материалов, разрабатывают и другие альтернативы. Так, рабочая группа из IETF предложила open source стандарт Oblivious DNS-over-HTTPS (ODoH). Он позволяет скрыть IP пользовательских устройств с помощью прокси. В этом случае DNS-провайдер видит лишь адрес промежуточного звена. IP-адрес клиента известен прокси-серверу, но тот не может получить информацию о запросе [так как сообщение зашифровано].
Появляются решения для шифрования обращений к системе доменных имен на основе других протоколов — например, QUIC. Но говорить об их широком распространении пока рано. В частности, объемы трафика DNS-over-QUIC невероятно малы, даже по сравнению с DNS-over-HTTPS. Под вопросом и практическая реализация подобных систем, поскольку в будущем DNS-over-HTTPS получит поддержку QUIC [за счёт протокола HTTP/3].
Пока рано говорить, какая технология шифрования DNS-запросов будет внедрена. Но в любом случае, на это может потребоваться пара десятилетий.
Что еще почитать о протоколах в нашем блоге:
Комментарии (3)
vsviridov
23.12.2021 07:36Поставил у себя на сервере doh-proxy + unbound + dns-over-tls через nginx. Работает особо без нареканий. Правда пришлось переехать с LetsEncrypt на другой ssl провайдер. Какой-то странный баг с андроидом, и проблемой со старым intermediate certificate у LE.
gameplayer55055
23.12.2021 08:45Поставил, все это хорошо. Но боюсь, что гугол возьмёт и всем его обязательно засунет. И про pihole ,можно будет забыть
Revertis
Одна из проблем протокола DNSSEC в том, что часто все ключи и подписи не помещаются в обычные пакеты UDP, и промежуточным серверам или клиентам приходится делать повторные запросы через TCP. Работа же по DoH сразу снимает кучу ограничений (костылей и перезапросов), и даёт возможность ускорить запросы за счёт поддержания пула открытых соединений к серверу DNS.