Принцип работы протокола DNS over HTTPS (DoH) заключается в шифровании запросов к DNS-серверу и ответов на них. Имена удалённых серверов, к которым обращается пользователь с использованием DoH, скрываются.
Причина споров в том, что часть сообщества считает протокол повышающим уровень безопасности в интернете и уже внедряет его в приложениях и сервисах, но другая говорит о появлении дополнительных сложностей в работе системных администраторов.
Чтобы понять суть конфликта, необходимо разобраться в механизме работы DNS over HTTPS. Если при использовании обычного DNS имя хоста и адрес передаются в открытом виде, то в протоколе DoH запрос на получение IP-адреса инкапсулируется в шифрованный HTTPS-трафик. Далее он передается HTTP-серверу и проходит обработку с помощью команд API.
Приведем пример такого запроса из RFC 8484 (стр.6):
:method = GET
:scheme = https
:authority = dnsserver.example.net
:path = /dns-query?dns=AAABAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB
accept = application/dns-message
Как видно из примера, запросы к DNS оказываются анонимны, так как скрыты в трафике HTTPS.
Анонимность – хорошо, но в чем проблема?
Первой причиной отказа от DNS over HTTPS называют снижение безопасности работы в сети Интернет. Системным администратором станет сложнее блокировать вредоносные сайты, так как их имена невозможно изъять из HTTPS-трафика, а обычные пользователи лишатся возможности родительского контроля в браузерах своих устройств.
Законодательство Великобритании, так же, как и в России, обязывает интернет-провайдеров осуществлять блокировку запрещенных сайтов. С использованием протокола DoH фильтровать трафик становится практически невозможно. Против популяризации протокола выступают Центр правительственной связи Англии (GCHQ) и фонд Internet Watch Foundation (IWF), их задача заключается в ведении реестра заблокированных ресурсов.
Даже современные системы фильтрации трафика, такие как СКАТ DPI, не могут выполнять полный анализ HTTPS-трафика. Они используют методы классификации по имени сервиса в сертификате SSL/TLS (Common Name) или в Server Name Indication (SNI), а также сигнатурный анализ потока трафика.
Вторая проблема использования DNS over HTTPS в появлении новых вредоносных программ, которые используют особенности протокола. Так, например, в июле этого года специалисты по информационной безопасности Netlab обнаружили новый вирус Godlua, использующий DoH для проведения DDoS-атак. Вредоносная программа из DoH получает текстовые записи DNS (TXT) и URL-адреса управляющих серверов.
Угроза кибербезопасности в том, что популярные антивирусные решения не могут распознать зашифрованные DoH-запросы. Дальше будут появляться новые вирусы, и ситуация начнет усугубляться.
Плюсы тоже есть
Новый протокол способен также и усилить кибербезопасность, он позволяет бороться с атаками DNS hijacking, получающими все большее распространение. Подтверждение этому можно найти в отчете компании по информационной безопасности FireEye, также протокол поддерживают и другие крупные ИТ-компании.
С прошлого года DoH тестирует Google, а совсем недавно компания General Availability представила свой DoH-сервис. Google считает, что распространение DoH позволит повысить уровень безопасности персональных данных и обеспечит защиту от MITM-атак.
В свою очередь Mozilla с лета прошлого года поддерживает полноценную работу DNS over HTTPS и занимается активной поддержкой протокола. Ассоциация провайдеров Internet Services Providers Association (ISPA) номинировала за это Mozilla на премию «интернет-злодей года»; представители браузера ответили, что разочарованы тенденцией операторов связи отказываться от модернизации инфраструктуры и «идти в ногу со временем». Правда, номинация была отозвана, когда за Mozilla вступились крупные СМИ и некоторые провайдеры, а British Telecom заявили, что новый протокол только повысит безопасность британских пользователей и не повлияет на качество фильтрации контента.
Облачные провайдеры также не остались в стороне, и Cloudflare уже предлагает DNS-сервисы на базе DNS over HTTPS.
Споры еще долгое время не улягутся, новая технология всегда встречается в штыки и вызывает море обсуждений. А о повсеместном внедрении нового протокола можно будет говорить через не одно десятилетие. Сейчас со списком браузеров и клиентов с поддержкой DNS over HTTPS можно ознакомится на GitHub.