W całej historii Internetu ruch w tradycyjnym systemie nazw domen (DNS) — na przykład żądania użytkowników dostępu do określonych witryn — był w dużej mierze niezaszyfrowany. Oznacza to, że za każdym razem, gdy szukasz adresu internetowego w „internetowej książce telefonicznej”, każda część łańcucha wartości DNS, która odbiera Twoje żądanie, może sprawdzić te zapytania i odpowiedzi, a nawet je zmodyfikować. Szyfrowany DNS, na przykład wykorzystujący DNS przez HTTPS (DoH), zmienia to. Kilka dużych firm internetowych, takich jak Apple, Mozilla, Microsoft i Google, wdraża szyfrowany DNS za pośrednictwem DoH w swoich usługach i aplikacjach. Mozilla jako pierwsza przyjęła DoH w swojej przeglądarce w Stanach Zjednoczonych pod koniec 2018 r., Apple wprowadzi tę technologię wraz z aktualizacjami iOS 14 i macOS 11 jesienią 2020 r., a Google wprowadzi DoH w przeglądarce Chrome na Androida.
Internetowa książka telefoniczna świata
DNS (system nazw domen) zasadniczo funkcjonuje jako internetowa książka telefoniczna. Jeśli uważamy, że domena najwyższego poziomu (skrajna na prawo część adresu internetowego, np. .com, .org czy .info) jest równoznaczna z kodem kraju lub numerem kierunkowym, drugi poziom (w przypadku .eco. de International, byłoby to .eco.) jako standardowy numer firmy, a trzeci poziom (international) jako specyficzne rozszerzenie, można mieć obraz tego, jak ten katalog jest skompilowany i w jaki sposób komputery znajdują żądaną usługę chcę odwiedzić. Programy rozpoznawania nazw DNS są odpowiedzialne za znalezienie zasobu internetowego (na przykład witryny internetowej) wpisanego na komputerze lub telefonie. Pierwszym programem rozpoznawania nazw DNS, do którego jest podłączone lokalnie Twoje urządzenie, jest router domowy lub służbowy albo publiczny hotspot. Solver ten składa się z szeregu kroków, sprawdzając, czy na urządzeniu znajdują się wstępnie skonfigurowane ustawienia lub zapis poprzednich wizyt na danej stronie internetowej (tzw. pamięć podręczna). W przeciwnym razie moduł rozpoznawania nazw przekaże zapytanie DNS do następnego mechanizmu rozpoznawania nazw, na przykład dostawcy usług internetowych (ISP), z którym jesteś połączony. Ten moduł rozpoznawania nazw wykona te same kroki i ostatecznie, jeśli wszystko inne zawiedzie, wyszuka domenę w „Internetowej książce telefonicznej”.
Przed jakimi zagrożeniami DoH chroni użytkowników?
Jednym z celów przyświecających rozwojowi protokołu DoH było zwiększenie poufności i bezpieczeństwa użytkowników poprzez unikanie podsłuchiwania i manipulacji danymi DNS. Szyfrowanie ruchu DNS chroni Cię przed możliwością przekierowania przez złośliwego aktora do innego (złośliwego) miejsca docelowego, na przykład fałszywej witryny bankowej zamiast tej, którą zamierzałeś odwiedzić. Ten typ cyberataku znany jest jako atak typu Man-in-the-Middle (MITM). Szyfrowanie DNS poprzez DoH (lub powiązany protokół DoT) jest jedynym realistycznym obecnie dostępnym rozwiązaniem. Na przykład zarabianie na danych DNS w celach marketingowych to potencjalny i realistyczny problem prywatności, którym chcieli się zająć także programiści DoH.
Chroń użytkowników w sieciach publicznych
Podczas korzystania z publicznej sieci bezprzewodowej (Wi-Fi) w hotelach, kawiarniach itp. dane zapytań DNS Twojego telefonu komórkowego mogą zostać wykorzystane do analizy Twojego zachowania i śledzenia Cię w sieciach. Często te usługi DNS są częścią kompleksowego rozwiązania Wi-Fi dostępnego na całym świecie; mogą nie być odpowiednie do przestrzegania lokalnych przepisów dotyczących prywatności i potencjalnie nie mieć ustawień ochrony prywatności. nie jest aktywowany. Ponadto bezpłatne publiczne usługi Wi-Fi, zwłaszcza obsługiwane lub świadczone przez małe firmy, są często źle zarządzane pod względem bezpieczeństwa i wydajności, co naraża Cię na ataki na Twoje sieci. DoH chroni użytkowników tych publicznych sieci bezprzewodowych, ponieważ mechanizm rozpoznawania nazw DNS sieci Wi-Fi jest omijany, co uniemożliwia śledzenie użytkowników i manipulację danymi na tym poziomie. Dlatego DoH zapewnia możliwość ochrony komunikacji w niezaufanym środowisku.
Co się zmienia w DoH?
Sam DNS przez HTTPS zmienia jedynie mechanizm transportu, za pomocą którego komunikują się Twoje urządzenie i moduł rozpoznawania nazw. Żądania i odpowiedzi są szyfrowane przy użyciu dobrze znanego protokołu HTTPS. Obecnie, ponieważ wdrożono jeszcze kilka programów rozpoznawania nazw DoH i nadal trwają prace nad technicznym umożliwieniem „odkrycia programów rozpoznawania DoH”, zapytania DNS korzystające z DoH zazwyczaj omijają lokalny program rozpoznawania nazw i zamiast tego są obsługiwane przez zewnętrzną stronę trzecią. Dostawca DoH wyznaczony już przez twórcę lub producenta odpowiedniego oprogramowania. Coraz więcej dostawców decyduje się na oferowanie własnych usług DoH.
Czy chcę DoH w mojej sieci firmowej?
Chociaż DoH to przydatny sposób ochrony podczas korzystania z publicznego hotspotu, może nie być preferowaną opcją w przypadku zaufanych środowisk sieciowych, takich jak sieci korporacyjne lub usługi korporacyjne. Dostęp do Internetu zakupiony u zaufanego dostawcy usług internetowych. Na przykład Twoja firma może mieć uzasadnione powody, aby zablokować aplikację, która ignoruje i zastępuje domyślne ustawienia systemu; można to nawet uznać za potencjalnie niebezpieczne, ponieważ administrator sieci nie może tego kontrolować w sieci. . Wiele problemów z sieciami korporacyjnymi znika, jeśli DoH zostanie wdrożony na poziomie systemu, a nie aplikacji. Na przykład na poziomie systemu administrator sieci firmowej może skonfigurować system i utworzyć politykę zapewniającą, że gdy urządzenie znajduje się w sieci firmowej, należy używać korporacyjnego programu rozpoznawania nazw, ale gdy urządzenie znajduje się w sieci publicznej, DoH należy wykorzystywać w celu poprawy bezpieczeństwa i prywatności. Jeśli jednak DoH jest domyślnie zaimplementowany na poziomie aplikacji, te różne ustawienia są ignorowane. Istnieją inne obawy dotyczące korzystania z zewnętrznego rozpoznawania nazw DNS za pośrednictwem DoH, począwszy od potencjalnie długiego czasu odpowiedzi po obejście kontroli rodzicielskiej i wymagane przez prawo blokowanie. Ale ogólnie rzecz biorąc, wiele potencjalnych wad DoH jest równoważonych przez wiele zalet, w zależności od kontekstu. Nie ma co do tego wątpliwości: szyfrowanie DNS poprawia bezpieczeństwo i prywatność użytkowników. DoH może zapewnić łatwy sposób, aby to zrobić. Jeśli jednak włączysz DoH, pamiętaj, aby dowiedzieć się, kto będzie obsługiwał rozdzielczość DoH, w jaki sposób obsługuje Twoje dane i czy możesz łatwo wyłączyć tę funkcję, gdy zajdzie taka potrzeba.