25 февраля Mozilla сделали DNS-over-HTTPS (DoH) протоколом по умолчанию в своем браузере для всех американских пользователей. В целом ИТ-сообщество встретило это решение положительно, заметив, что шифрование DNS-трафика повысит безопасность в интернете. Но нашлись и те, кто считает иначе, — например, представители интернет-регистратора RIPE.
В сегодняшнем материале разбираем основные мнения.
/ Unsplash / Muukii
Прежде чем переходить к обзору мнений кратко разберем, как работает DoH и почему его реализация вызывает жаркие споры в ИТ-сообществе.
Обмен данными между браузером и DNS-сервером происходит в открытом виде. При желании злоумышленник может подслушать этот трафик и проследить, какие ресурсы посещает пользователь. Чтобы решить проблему, протокол DoH инкапсулирует запрос IP-адреса в трафик HTTPS. Затем он поступает специальному серверу, который обрабатывает его при помощи API и генерирует ответ (стр.8):
Таким образом, DNS-трафик скрыт в трафике HTTPS, и запросы к системе доменных имен остаются анонимными.
В поддержку DoH высказываются западные облачные провайдеры, телекомы и интернет-провайдеры. Многие из них уже предлагают DNS-сервисы на базе нового протокола — полный список есть на GitHub. Например, в British Telecommunications говорят, что сокрытие DNS-запросов в HTTPS увеличит безопасность британских пользователей.
Год назад DNS-over-HTTPS начали тестировать в Google. Инженеры добавили возможность активировать DoH в Chrome 78. По словам разработчиков, инициатива защитит пользователей от DNS-спуфинга и фарминга, когда хакеры перенаправляют жертву на ложный IP-адрес.
?В начале материала мы упомянули другого разработчика браузера — Mozilla. На этой неделе компания подключила DNS-over-HTTPS для всех пользователей из США. Теперь при установке браузера новый протокол активируется по умолчанию. Тех, у кого уже есть Firefox, планируют перевести на DoH в ближайшие недели. Другие страны новая инициатива пока обойдет стороной, но желающие могут включить передачу DNS-запросов по HTTPS самостоятельно.
Те, кто выступает против внедрения DoH, говорят, что он снизит безопасность сетевых подключений. Например, Пол Викси (Paul Vixie), один из авторов доменной системы имен, утверждает, что системным администраторам станет сложнее блокировать потенциально вредоносные сайты в корпоративных и частных сетях.
Выступили против нового протокола и представители интернет-регистратора RIPE, отвечающего за европейский и ближневосточный регионы. Они обратили внимание на проблемы безопасности персональных данных. DoH позволяет передавать информацию о посещаемых ресурсах в зашифрованном виде, но соответствующие логи все равно остаются на сервере, отвечающем за обработку DNS-запросов с помощью API. Здесь встает вопрос доверия к разработчику браузера.
Сотрудник RIPE Берт Хуберт (Bert Hubert), который участвовал в разработке PowerDNS, говорит, что классический подход DNS-over-UDP предоставляет большую анонимность, так как смешивает все запросы к системе доменных имен из одной сети (домашней или публичной). В этом случае сопоставить отдельные запросы с конкретными компьютерами становится сложнее.
/ Unsplash / chris panas
К недостаткам DoH некоторые эксперты также относят невозможность настроить родительский контроль в браузерах и сложности с оптимизацией трафика в CDN-сетях. В последнем случае может вырасти задержка до начала передачи контента, так как резолвер будет искать адрес хоста, ближайшего к серверу DNS-over-HTTPS. Здесь стоит отметить, что ряд ИТ-компаний уже работает над решением этих сложностей. Например, в той же Mozilla рассказали, что Firefox будет автоматически отключать DoH, если пользователь настроит правила родительского контроля. И компания планирует продолжить работу над более совершенными инструментами в будущем.
В сегодняшнем материале разбираем основные мнения.
/ Unsplash / Muukii
Небольшой ликбез
Прежде чем переходить к обзору мнений кратко разберем, как работает DoH и почему его реализация вызывает жаркие споры в ИТ-сообществе.
Обмен данными между браузером и DNS-сервером происходит в открытом виде. При желании злоумышленник может подслушать этот трафик и проследить, какие ресурсы посещает пользователь. Чтобы решить проблему, протокол DoH инкапсулирует запрос IP-адреса в трафик HTTPS. Затем он поступает специальному серверу, который обрабатывает его при помощи API и генерирует ответ (стр.8):
:status = 200
content-type = application/dns-message
content-length = 61
cache-control = max-age=3709
<61 bytes represented by the following hex encoding>
00 00 81 80 00 01 00 01 00 00 00 00 03 77 77 77
07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 1c 00
01 c0 0c 00 1c 00 01 00 00 0e 7d 00 10 20 01 0d
b8 ab cd 00 12 00 01 00 02 00 03 00 04
Таким образом, DNS-трафик скрыт в трафике HTTPS, и запросы к системе доменных имен остаются анонимными.
Кто поддерживает DoH
В поддержку DoH высказываются западные облачные провайдеры, телекомы и интернет-провайдеры. Многие из них уже предлагают DNS-сервисы на базе нового протокола — полный список есть на GitHub. Например, в British Telecommunications говорят, что сокрытие DNS-запросов в HTTPS увеличит безопасность британских пользователей.
Пара материалов из нашего блога на Хабре:
Год назад DNS-over-HTTPS начали тестировать в Google. Инженеры добавили возможность активировать DoH в Chrome 78. По словам разработчиков, инициатива защитит пользователей от DNS-спуфинга и фарминга, когда хакеры перенаправляют жертву на ложный IP-адрес.
?В начале материала мы упомянули другого разработчика браузера — Mozilla. На этой неделе компания подключила DNS-over-HTTPS для всех пользователей из США. Теперь при установке браузера новый протокол активируется по умолчанию. Тех, у кого уже есть Firefox, планируют перевести на DoH в ближайшие недели. Другие страны новая инициатива пока обойдет стороной, но желающие могут включить передачу DNS-запросов по HTTPS самостоятельно.
Аргументы против
Те, кто выступает против внедрения DoH, говорят, что он снизит безопасность сетевых подключений. Например, Пол Викси (Paul Vixie), один из авторов доменной системы имен, утверждает, что системным администраторам станет сложнее блокировать потенциально вредоносные сайты в корпоративных и частных сетях.
Выступили против нового протокола и представители интернет-регистратора RIPE, отвечающего за европейский и ближневосточный регионы. Они обратили внимание на проблемы безопасности персональных данных. DoH позволяет передавать информацию о посещаемых ресурсах в зашифрованном виде, но соответствующие логи все равно остаются на сервере, отвечающем за обработку DNS-запросов с помощью API. Здесь встает вопрос доверия к разработчику браузера.
Сотрудник RIPE Берт Хуберт (Bert Hubert), который участвовал в разработке PowerDNS, говорит, что классический подход DNS-over-UDP предоставляет большую анонимность, так как смешивает все запросы к системе доменных имен из одной сети (домашней или публичной). В этом случае сопоставить отдельные запросы с конкретными компьютерами становится сложнее.
/ Unsplash / chris panas
К недостаткам DoH некоторые эксперты также относят невозможность настроить родительский контроль в браузерах и сложности с оптимизацией трафика в CDN-сетях. В последнем случае может вырасти задержка до начала передачи контента, так как резолвер будет искать адрес хоста, ближайшего к серверу DNS-over-HTTPS. Здесь стоит отметить, что ряд ИТ-компаний уже работает над решением этих сложностей. Например, в той же Mozilla рассказали, что Firefox будет автоматически отключать DoH, если пользователь настроит правила родительского контроля. И компания планирует продолжить работу над более совершенными инструментами в будущем.
О чем мы пишем в корпоративном блоге VAS Experts:
easty
Что мешает корпоративным пользователям запретить днс по хттпс? Это надумано мне кажется, тем более это все будет отключаемо в корпоративном сегменте. Это больше надо частным лицам, а то слишком много любопытных и запретителей 3000 развелось
extiander
простой пример
есть зоопарк из 1000 машин. там 4 браузера, каждый версий с пяток
КАК его отключить, если он для всех за пределами хоста является обычным хттпс
easty
Корпоративный сегмент диктует свои правила, зачем 4 браузера? Обычно ставится корпоративная мозилла и все накатывается политикой. Зоопарк надо вычищать
extiander
бизнес ферст. если им удобно работать с зоопарком, ит подстраиватется;
nApoBo3
Значит для данного бизнеса это не является проблемой.
scarab
Вот только надо различать реальные потребности бизнеса от глупых хотелок пользователей.
Я могу себе представить только один кейс, когда действительно нужно иметь 4 браузера: это веб-разработчики. У Вас 1000 человек вебдевов?
Зато у бизнеса есть такие непонятные рядовым работникам вещи, как конфиденциальность коммерческой информации, непрерывность бизнеса и ряд других. И унификация конфигураций рабочих мест, как и различные запреты — один из способов добиться этих целей. Все эти ограничения нужны отнюдь не для того, чтобы ЧСВ сисадминов потешить, как многие думают.
vp7
Вот вам второй кейс — куча легаси приложений, часть из которых работает только в IE, а их замена экономически невыгодна. А ещё бывают такие, которые работают только в chrome или только в FF (таких сильно меньше, но и они есть).
Ну то есть 2 браузера это вполне норма.
scarab
Ну два — это всё же не четыре :)
Тем более что и IE, и Chrome замечательно рулятся политиками. С мозиллой было как-то похуже, но я давно не следил за этой темой, возможно улучшили управляемость с тех пор.
extiander
mac/windows/linux
какими политиками это рулить?
нет, сократить ОС нельзя,
нет заставить всех сидеть на хроме/мозиле/нетскейпе тоже нельзя, ибо
а) многие выбирают наиболее эффективные браузеры под себя (у меня рабочих 2, еще 2 под спец задачи, и иногда в виртуалке ие приходится запускать)
б) уйдут нахрен (да эта проблема тоже есть)
scarab
Зависит от потребностей бизнеса.
Если речь идёт об IT-сфере — то да, ограничивать сложно, потому что у айтишников своя система ценностей и всё равно попытаются обойти. Хотя я лично был свидетелем, когда особо умный программер в банке воткнул в свою машину, подключенную к внутреннему сегменту АБС, usb-свисток «потому что так было удобнее». И был нещадно отымет титановым ломом, потому что удобство удобством, но вряд ли Вы захотели бы хранить деньги в банке, в котором хост банковской сети торчит голой ж… й в интернет.
В любой же не-айтишной области, где компьютер является просто инструментом, а не самоцелью — никаких «сократить ОС нельзя» и «выбирать эффективный браузер» не может быть. Утверждённая конфигурация рабочего места, утверждённый список софта, любые исключения — только через согласования руководства включая CIO/CSO/CTO.
eri
Тем не менее накатывать политики в линуксе дорого, как и ввод его в домен. Дешевле костылями
extiander
по браузерам — понятно что движемся в сторону унификации, но это годы, если не ломать текущее
тут гораздо интереснее вопросы — все локальные ресурсы при doh пойдут лесом :-) так что все равно придется это все решать тем или иным способом
dartraiden
У Firefox для этого есть политики, а также canary-домен — если браузер увидит соответствующий ответ от DNS-сервера, то не включит DoH автоматически.
belyvoron
в корпоративном сегменте расшифровывать весь HTTPS является не такой уж и редкой практикой.
extiander
Пока не можем, легал сказал что повесит всех за фибирже если мы заикаемся об этом. Как раз пользовательский трафик.
Серверная ферма — все хорошо, хоть обрасшифровывайся
qw1
dartraiden
Firefox поддерживает не только Cloudflare и этот список будет расширяться. Хотя, конечно, если что-то (Cloudflare) выбрано по умолчанию, то оно и будет использоваться большинством.
Milein
А провайдерам DoH особо и не интересен. Между клиентом и DNS серверов провайдера обычно только железо провайдера, так что перехватывать некому.
Это вот когда хочешь воспользоваться сторонним DNS сервером, то эти самые провайдеры лезут не в своё дело, перехватывают траффик, блокируют часть сайтов. Так что их проблемы меня как-то слабо волнуют.
lysakov
Того же мнения.
Всем клиентам ставим энтерпрайз браузер — рулится политикой, свой DNS сервер, весь трафик проксируем и заворачиваем на какой нибудь Palo Alto.