Инженерный совет Интернета (Internet Engineering Task Force, IETF) вынес на общественное обсуждение проект стандарта DNS-over-HTTPS, закрепив тем самым его официальный статус. Документ за авторством Ларса Хоффмана (Lars Hoffmann) из ICANN и Патрика Макмануса (Patrick McManus) из Mozilla получил индекс RFC 8484. Сторонники альтернативного протокола DNS-over-TLS предупреждают, что выбор HTTPS для защиты доменных запросов может привести к определенным рискам в области информационной безопасности.

Протокол системы доменных имен (Domain Name System, DNS) — это одна из основополагающих интернет-технологий, которая позволяет браузеру находить веб-страницы, преобразовывая URL в IP-адрес нужного ресурса. Разработчики DNS в 80-х годах не задумывались о шифровании трафика — Интернет представлял собой закрытую среду с небольшим количеством участников, о современных угрозах тогда не подозревали. Как следствие, даже сейчас программный клиент отправляет DNS-запросы в виде простого текста, а внешние акторы, будь то интернет-провайдер или прослушивающий сеть злоумышленник, могут их перехватывать, менять и возвращать поддельные ответы.

Манипуляции с DNS-запросами позволяют мошенникам заманивать пользователей на вредоносные страницы, чтобы заражать устройства зловредами, красть конфиденциальную информацию или показывать агрессивную рекламу. Авторитарные правительства используют эти технологии, чтобы следить за гражданскими активистами и блокировать доступ к нежелательным сайтам.

Для борьбы с подобными действиями интернет-специалисты предлагают шифровать DNS-запросы, скрывая их содержание от посторонних лиц. Экспертное сообщество разделилось на два лагеря: одни склоняются к передаче данных по протоколу защиты транспортного уровня (Transport Layer Security, TLS), вторые делают ставку на HTTPS.

Оба варианта гарантируют целостность и конфиденциальность пользовательских данных, однако разница в технических подходах не позволяет сделать однозначный выбор. Так, стандарт DoH, который только что получил одобрение IETF, обеспечивает сквозное шифрование DNS-запросов. В этом случае прочитать их не сможет никто, кроме DNS-клиента и DNS-сервера. От системных администраторов, киберпреступников, правительственных агентов и т. д. их содержание будет скрыто. Связь между клиентом и сервером по этому протоколу осуществляется через стандартный порт для HTTPS-трафика.

Многие видные специалисты указывают на противоречия между DoH и основополагающими принципами организации Интернета. Один из создателей DNS Пол Викси (Paul Vixie) высказался по поводу решения IETF категорично:

«RFC 8484 — это чушь с точки зрения интернет-безопасности. Извините, что порчу вам настроение. Психи захватили больницу».

Эксперт подчеркнул, что внедрение этой технологии не позволит эффективно контролировать происходящее в частных и закрытых сетях. Так, родители не смогут ограничивать доступ своих детей к сайтам для взрослых, а системные администраторы компаний — защитить сотрудников от посещения вредоносных площадок.

В свою очередь, DoT тоже предполагает передачу зашифрованных запросов, но через выделенный порт 853. Противники этого подхода указывают на то, что сторонние участники могут отслеживать использование защищенного канала и при необходимости заблокировать его.

Применение же DoH позволяет спрятать запросы в общем HTTPS-трафике. Внешний актор будет вынужден ограничивать передачу на уровне интернет-провайдера или сети доставки контента (Content Distribution Network). Это потребует множества ресурсов и привлечет общественное внимание.

Единственное, в чем сходятся все оппоненты, — интернет-отрасль слишком долго игнорировала проблемы с безопасностью DNS, и каким бы ни оказался финальный выбор, сделать его нужно как можно скорее.

На данный момент оба стандарта фактически имеют одинаковую силу, и решение в пользу одного из вариантов примет рынок. Такие крупные игроки, как Mozilla Foundation и облачный провайдер Cloudfare, уже заявили о поддержке DoH.

Категории: Кибероборона