DNS через HTTPS: больше безопасности в сети

Система доменных имен (DNS) является проверенным решением. Пользователям достаточно ввести в браузере узнаваемый веб-адрес, и система в течение короткого времени находит соответствующий IP-адрес. Для этого обращаются к различным серверам имен, которые хранят числовой адрес, соответствующий URL. Хотя в принципе DNS все еще полностью функциональна, она несколько устарела. Разработанный несколько десятилетий назад, он еще не вызывал сегодняшних проблем безопасности.

Однако с точки зрения сегодняшнего дня DNS не является безопасным. Запросы обычно передаются в незашифрованном виде и могут быть прочитаны кем угодно. Это означает, что киберпреступник может использовать свой собственный сервер, чтобы относительно легко перехватить DNS жертвы. Такие атаки, называемые DNS hijacking, перебрасывают пользователей на сайты, которые либо распространяют вредоносное ПО, либо вымогают данные, либо раздражают пользователей большим количеством рекламы. Именно поэтому DNS через HTTPS (DoH) обсуждается экспертами отрасли как жизнеспособная альтернатива. Но может ли этот протокол сделать Интернет более безопасным?

DoH позволяет достичь нескольких целей, включая повышение безопасности. Запуск DNS по защищенному протоколу HTTPS позволяет укрепить безопасность и конфиденциальность пользователя. Благодаря использованию зашифрованного соединения HTTPS, третьи лица больше не смогут влиять на расшифровку или шпионить за ней. Таким образом, мошенник не сможет просматривать запрашиваемые URL-адреса или изменять их.

С одной стороны, это усиливает борьбу с киберпреступностью, а с другой — затрудняет цензуру в Интернете. Некоторые правительства используют DNS для блокировки определенных веб-сайтов, чтобы ограничить свободу слова или навязать местные правила пользования Интернетом — например, законы о борьбе с порнографией.

Некоторые интернет-провайдеры (ISP) специально используют технологию перехвата DNS, чтобы выдавать сообщения об ошибках, если пользователь вводит веб-адрес, который невозможно расшифровать (например, из-за опечатки). Некоторые провайдеры перехватывают это и вместо этого направляют пользователя на свой собственный сайт, рекламирующий их собственные или сторонние продукты. Это не является незаконным и не наносит прямого ущерба пользователю или его устройству, но такое перенаправление может восприниматься как нарушение работы сети.

Однако изменения в DNS также улучшат его работу. Протокол DNS больше не считается очень надежным. Протокол управления передачей (TCP) в DoH быстрее реагирует на потерю данных при передаче.

Расшифровка некоторых имен может осуществляться непосредственно с устройства пользователя. Соответствующая информация отображается в кэше браузера или маршрутизатора. Все, что должно быть передано в Интернете, обычно проходит через UDP-соединение. Это позволяет быстро обмениваться информацией. Однако UDP не является ни безопасным, ни надежным. При использовании этого протокола регулярно теряются пакеты данных, поскольку не существует механизмов, гарантирующих передачу.

DoH, с другой стороны, полагается на HTTPS и, следовательно, также на TCP — протокол, который гораздо чаще используется в Интернете. К его преимуществам относится шифрование соединений, а сам протокол обеспечивает гарантированную передачу данных.

При использовании DNS через HTTPS связь всегда осуществляется через порт 443, через который передается фактический веб-трафик (например, доступ к веб-сайтам). Поэтому посторонний человек не может отличить DNS-запросы от других сообщений. Это обеспечивает дополнительный уровень конфиденциальности пользователей.

Преимущества новой системы очевидны. Технология повышает безопасность и конфиденциальность пользователей. По сравнению с классическим DNS, DoH обеспечивает шифрование. Однако DNS over HTTPS не является ни полностью безопасной, ни полностью приватной. Как и раньше, вся информация может быть просмотрена на серверах имен, где происходит расшифровка имен, а ряд серверов также узнает, кто и какую информацию запрашивает. Поэтому участникам DNS следует доверять новой технологии.

Однако DNS через HTTPS перераспределяет здесь ответственность. Серверы интернет-провайдеров обычно контролируют большую часть расшифровки имен. С DoH, с другой стороны, разработчики браузеров теперь могут решать, на какие серверы они хотят направлять свои DNS-запросы. В Chrome для этого используется собственный DNS-сервер Google. Mozilla уже использует Cloudflare для Firefox. Хотя это поднимает вопрос о том, должны ли пользователи доверять этим компаниям больше, чем провайдеру, это также означает, что всего несколько провайдеров являются главными.

Критики DoH считают, что сетевой нейтралитет находится под угрозой. Они опасаются, что Google, например, может отвечать на запросы о собственных услугах компании быстрее, чем на запросы DNS о других сайтах. Концентрируясь на горстке провайдеров, серверы DoH также представляют угрозу безопасности, поскольку в этом случае злоумышленникам будет гораздо проще парализовать работу всей DNS.

Помимо DNS over HTTPS, в настоящее время обсуждается еще одна технология защиты системы доменных имен: DNS поверх TLS (DoT). Эти два протокола поначалу кажутся похожими, поскольку оба обещают большую безопасность и конфиденциальность пользователей. Но эти технологии различаются по нескольким пунктам, в том числе по приверженности им со стороны различных заинтересованных групп. В то время как DNS over HTTPS в основном поддерживается Mozilla, Google и поставщиками частных серверов DoH, DoT продвигается Инженерной группой Интернета (IETF).

На техническом уровне DoT отличается от своих конкурентов тем, что устанавливает туннель TLS вместо соединения HTTPS. Он также использует другой порт. Как упоминалось выше, в то время как DoH работает через порт 443, связь с DNS через TLS происходит через отдельный порт 853.