HTTPS üzerinden DNS - DNS over HTTPS

HTTPS üzerinden DNS
İletişim protokolü
Amaçgizlilik ve güvenlik için DNS'yi HTTPS'de kapsülleyin
TanıtıldıEkim 2018; 2 yıl önce (2018-10)
OSI katmanıUygulama katmanı
RFC (ler)RFC 8484
İnternet güvenliği
protokoller
Anahtar yönetimi
Uygulama katmanı
Alan Adı Sistemi
İnternet Katmanı

HTTPS üzerinden DNS (DoH) uzaktan kumandayı gerçekleştirmek için bir protokoldür Alan Adı Sistemi (DNS) çözümlemesi HTTPS protokol. Yöntemin bir amacı, DNS verilerinin gizlice dinlenmesini ve değiştirilmesini önleyerek kullanıcı gizliliğini ve güvenliğini artırmaktır. ortadaki adam saldırıları[1] HTTPS protokolünü kullanarak şifrelemek DoH istemcisi ile DoH tabanlı arasındaki veriler DNS çözümleyici. Mart 2018'e kadar, Google ve Mozilla Vakfı HTTPS üzerinden DNS sürümlerini test etmeye başladı.[2][3] Şubat 2020'de, Firefox Amerika Birleşik Devletleri'ndeki kullanıcılar için varsayılan olarak HTTPS üzerinden DNS'ye geçmiştir.[4]

Teknik detaylar

DoH, önerilen bir standarttır ve şu şekilde yayınlanır: RFC 8484 (Ekim 2018) tarafından IETF. Kullanır HTTP / 2 ve HTTPS ve destekler tel biçimi Mevcut UDP yanıtlarında döndürülen DNS yanıt verileri, bir HTTPS yükünde MIME türü application / dns-message.[1][5] HTTP / 2 kullanılıyorsa, sunucu da kullanabilir HTTP / 2 sunucu itme müşterinin önceden faydalı bulabileceğini tahmin ettiği değerleri göndermek.[6]

DoH devam eden bir çalışmadır. IETF yayınlamış olsa bile RFC 8484 önerilen bir standart olarak ve şirketler bununla deney yapıyor,[7][8] IETF, bunun en iyi nasıl uygulanması gerektiğini henüz belirlememiştir. IETF, DoH'nin en iyi şekilde nasıl konuşlandırılacağına dair bir dizi yaklaşımı değerlendiriyor ve bir çalışma grubu kurmayı planlıyor, Uyarlanabilir DNS Keşfi (ADD), bu işi yapmak ve fikir birliği geliştirmek için. Ek olarak, diğer endüstri çalışma grupları, örneğin Şifrelenmiş DNS Dağıtım Girişimi, "DNS şifreleme teknolojilerini İnternet'in kritik ad alanı ve ad çözümleme hizmetlerinin sürekli yüksek performansını, esnekliğini, kararlılığını ve güvenliğini sağlayacak şekilde tanımlamak ve benimsemek ve ayrıca güvenlik korumalarının bozulmamış işlevselliğinin devam etmesini sağlamak, ebeveyn kontroller ve DNS'ye bağlı diğer hizmetler ".[9]

Dağıtım senaryoları

DoH, yinelemeli DNS çözümlemesi için kullanılır. DNS çözücüler. Çözücüler (DoH istemcileri) bir sorgu uç noktasını barındıran bir DoH sunucusuna erişime sahip olmalıdır.[6]

DoH, işletim sistemlerinde yaygın destekten yoksundur, ancak İçeriden Windows 10'un sürümleri bunu destekler. Bu nedenle, kullanmak isteyen bir kullanıcının genellikle ek yazılım yüklemesi gerekir. Üç kullanım senaryosu yaygındır:

  • Bir uygulama içinde DoH uygulaması kullanma: Bazı tarayıcılar yerleşik bir DoH uygulamasına sahiptir ve bu nedenle işletim sisteminin DNS işlevini atlayarak sorgular gerçekleştirebilir. Bir dezavantaj, bir uygulamanın yanlış yapılandırma veya DoH desteği olmaması nedeniyle DoH sorgulamasını atlaması durumunda kullanıcıyı bilgilendiremeyebilmesidir.
  • Yerel ağdaki ad sunucusuna bir DoH proxy'si yükleme: Bu senaryoda istemci sistemleri, yerel ağdaki ad sunucusunu sorgulamak için geleneksel (bağlantı noktası 53 veya 853) DNS'yi kullanmaya devam eder, bu da daha sonra DoH aracılığıyla gerekli yanıtları ulaşarak toplar. İnternetteki DoH sunucuları. Bu yöntem, son kullanıcı için şeffaftır.
  • Yerel bir sisteme bir DoH proxy'si yükleme: Bu senaryoda, işletim sistemleri yerel olarak çalışan bir DoH proxy'sini sorgulayacak şekilde yapılandırılır. Daha önce bahsedilen yöntemin aksine, DoH kullanmak isteyen her sisteme proxy'nin yüklenmesi gerekir, bu da daha büyük ortamlarda çok çaba gerektirebilir.

Yazılım desteği

İşletim sistemleri

elma

Elmalar iOS 14 ve macOS 11 hem HTTPS üzerinden DNS'yi hem de TLS üzerinden DNS (DoT) ve 2020'nin sonlarında piyasaya sürüldü.[10][11]

pencereler

Kasım 2019'da, Microsoft şifreli DNS protokolleri için destek uygulama planlarını duyurdu Microsoft Windows DoH ile başlayarak.[12] Mayıs 2020'de Microsoft, DoH için ilk desteği içeren Windows 10 Insider Preview Build 19628'i piyasaya sürdü[13] nasıl etkinleştirileceğine dair talimatlarla birlikte kayıt ve komut satırı arayüzü.[14] Windows 10 Insider Preview Build 20185, HTTPS üzerinden DNS çözümleyiciyi ayarlamak için grafik kullanıcı arabirimi ekledi.[15]

Yinelemeli DNS çözücüler

Bağlantısız

Ekim 2020'de, NLnet Labs duyuruldu Bağlantısız DoH desteği ile 1.12.0.[16][17] Unbound için zaten destek vardı TLS üzerinden DNS (DoT), Aralık 2011'de piyasaya sürülen 1.4.14 sürümünden beri.[18][19] Sınırsız Linux, FreeBSD, OpenBSD, NetBSD, MacOS ve Microsoft Windows üzerinde çalışır.

internet tarayıcıları

Google Chrome

HTTPS üzerinden DNS şu konumlarda mevcuttur: Google Chrome 83, Windows ve macOS ve Linux için, ayarlar sayfasından yapılandırılabilir. Etkinleştirildiğinde ve işletim sistemi desteklenen bir DNS sunucusuyla yapılandırıldığında, Chrome DNS sorgularını şifrelenecek şekilde yükseltir.[20] Kullanıcı arayüzünde kullanılmak üzere önceden ayarlanmış veya özel bir DoH sunucusunu manuel olarak belirlemek de mümkündür.[21]

Eylül 2020'de Android için Google Chrome, HTTPS üzerinden aşamalı olarak DNS dağıtımına başladı. Kullanıcılar özel bir çözümleyici yapılandırabilir veya ayarlarda HTTPS üzerinden DNS'yi devre dışı bırakabilir.[22]

Microsoft Edge

Microsoft Edge DoH desteği vardır, edge: // bayraklar URL. İşletim sistemi desteklenen bir DNS sunucusuyla yapılandırılmışsa, Edge DNS sorgularını şifrelenecek şekilde yükseltir.[23]

Mozilla Firefox

2018 yılında Mozilla ile ortak Cloudflare DoH teslim etmek Firefox bunu etkinleştiren kullanıcılar. Firefox 73 seçeneklere başka bir çözümleyici ekledi, NextDNS.[24] 25 Şubat 2020'de Firefox, varsayılan olarak Cloudflare çözümleyicisine güvenerek tüm ABD merkezli kullanıcılar için HTTPS üzerinden DNS'yi etkinleştirmeye başladı.[25] 3 Haziran 2020'de, Firefox 77.0.1 NextDNS'yi varsayılan olarak devre dışı bıraktı çünkü Firefox kullanıcılarının NextDNS sunucularında neden olduğu yüksek yük "NextDNS'i etkin bir şekilde DDoS'luyordu" (NextDNS hala ayarlarda mevcuttur, ancak varsayılan olarak etkin değildir).[26] Haziran 2020'de Mozilla, Comcast Güvenilir DoH çözümleyicileri listesine.[27]

Opera

Opera DoH'yi destekler, tarayıcı ayarları sayfası üzerinden yapılandırılabilir.[28] Varsayılan olarak, DNS sorguları Cloudflare sunucularına gönderilir.[23]

Genel DNS sunucuları

HTTPS üzerinden DNS sunucu uygulamaları, bazı genel DNS sağlayıcıları tarafından ücretsiz olarak zaten mevcuttur.[29] Görmek genel yinelemeli ad sunucusu genel bir bakış için.

Eleştiriler ve uygulama konuları

DoH, siber güvenlik amacıyla DNS trafiğinin analizini ve izlenmesini engelleyebilir; 2019 DDoS solucan Godula, komuta ve kontrol sunucusuna bağlantıları maskelemek için DoH kullandı.[30][31] DoH baypas etmek için kullanıldı ebeveyn Denetimleri (şifrelenmemiş) standart DNS düzeyinde çalışan; Etki alanlarını bir engelleme listesine göre kontrol etmek için DNS sorgularına dayanan bir ebeveyn denetimi yönlendiricisi olan Circle, bu nedenle DoH'yi varsayılan olarak engeller.[32] Ancak, DoH sunucularını çalıştırarak DoH desteği ile birlikte filtreleme ve ebeveyn denetimleri sunan DNS sağlayıcıları vardır.[33][34][35][36]

İnternet Servis Sağlayıcıları Derneği (ISPA) - Birleşik Krallık ISS'leri temsil eden bir ticaret birliği - ve ayrıca İngiliz organı İnternet İzleme Vakfı eleştirdi Mozilla geliştiricisi Firefox internet tarayıcısı DoH'u destekledikleri için, bunun zarar vereceğine inandıkları için web engelleme ISP'nin yetişkinlere yönelik içeriğin varsayılan olarak filtrelemesi ve telif hakkı ihlallerinin mahkeme kararıyla zorunlu filtrelenmesi dahil olmak üzere ülkedeki programlar. ISPA, Mozilla'yı 2019 için "İnternet Kötü Adamı" ödülü için aday gösterdi (AB'nin yanında Dijital Tek Pazarda Telif Hakkı Direktifi, ve Donald Trump ), "HTTPS üzerinden DNS'yi, Birleşik Krallık'taki filtreleme yükümlülüklerini ve ebeveyn denetimlerini atlayarak Birleşik Krallık'taki internet güvenliği standartlarını baltalayacak şekilde tanıtmak için önerilen yaklaşımlarından dolayı." Mozilla, ISPA'nın iddialarına, filtrelemeyi engellemeyeceğini ve "ISP'ler için bir endüstri derneğinin onlarca yıllık internet altyapısına yönelik bir iyileştirmeyi yanlış tanıtmaya karar vermesine şaşırdığını ve hayal kırıklığına uğradığını" savunarak yanıt verdi.[37][38] Eleştirilere yanıt olarak ISPA özür diledi ve adaylığı geri çekti.[39][40] Mozilla daha sonra ilgili paydaşlarla daha fazla tartışılana kadar DoH'nin Birleşik Krallık pazarında varsayılan olarak kullanılmayacağını, ancak "Birleşik Krallık vatandaşlarına gerçek güvenlik faydaları sağlayacağını" belirtti.[41]

DoH'nin doğru bir şekilde nasıl dağıtılacağına ilişkin birçok sorun, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere internet topluluğu tarafından çözülmektedir:

  • Ebeveyn denetimleri ve içerik filtreleri
  • İşletmelerde DNS'yi Böl
  • CDN Yerelleştirme

DoH istemcileri doğrudan herhangi bir yetkili ad sunucuları. Bunun yerine, istemci, yetkili sunuculara ulaşmak için geleneksel (bağlantı noktası 53 veya 853) sorguları kullanan DoH sunucusuna güvenir. Bu nedenle DoH, bir uçtan uca şifreli protokol, yalnızca hop-to-hop şifrelidir ve yalnızca HTTPS üzerinden DNS tutarlı bir şekilde kullanılıyorsa.

Ayrıca bakınız

Referanslar

  1. ^ a b Chirgwin, Richard (14 Aralık 2017). "IETF gizliliği korur ve HTTPS üzerinden DNS ile ağ tarafsızlığına yardımcı olur". Kayıt. Arşivlendi 14 Aralık 2017'deki orjinalinden. Alındı 2018-03-21.
  2. ^ "HTTPS üzerinden DNS | Genel DNS | Google Developers". Google Developers. Arşivlendi 2018-03-20 tarihinde orjinalinden. Alındı 2018-03-21.
  3. ^ Cimpanu, Catalin (2018-03-20). "Mozilla HTTPS Üzerinden DNS Test Ediyor" Firefox'ta Destek ". Bilgisayar. Arşivlendi 2018-03-20 tarihinde orjinalinden. Alındı 2018-03-21.
  4. ^ ""Çevrimiçi gizliliğe uzun süredir gecikmiş bir teknolojik değişim ": Firefox, alan adlarını şifreler. Google'ın takip etmesi için". Yayınlamadaki Yenilikler | Dijital Yayıncılık Haberleri. 2020-02-26. Arşivlendi 2020-02-26 tarihinde orjinalinden. Alındı 2020-02-26.
  5. ^ Hoffman, P; McManus, P. "RFC 8484 - HTTPS Üzerinden DNS Sorguları". datatracker.ietf.org. Arşivlendi 2018-12-12 tarihinde orjinalinden. Alındı 2018-05-20.
  6. ^ a b Hoffman, P; McManus, P. "draft-ietf-doh-dns-over-https-08 - HTTPS üzerinden DNS Sorguları". datatracker.ietf.org. Arşivlendi 2018-04-25 tarihinde orjinalinden. Alındı 2018-05-20.
  7. ^ "Aynı sağlayıcı HTTPS üzerinden DNS yükseltmesiyle deneme". Chromium Blogu. Arşivlendi 2019-09-12 tarihinde orjinalinden. Alındı 2019-09-13.
  8. ^ Deckelmann, Selena. "Şifreli DNS-over-HTTPS'yi Varsayılan yapmada sırada ne var". Gelecek Sürümler. Arşivlendi 2019-09-14 tarihinde orjinalinden. Alındı 2019-09-13.
  9. ^ "Hakkında". Şifrelenmiş DNS Dağıtım Girişimi. Arşivlendi 2019-12-04 tarihinde orjinalinden. Alındı 2019-09-13.
  10. ^ Haziran 2020, Anthony Spadafora 29. "Apple cihazları iOS 14 ve macOS 11'de şifrelenmiş DNS alacak". TechRadar. Arşivlendi 2020-07-01 tarihinde orjinalinden. Alındı 2020-07-01.
  11. ^ Cimpanu, Catalin. "Apple, şifreli DNS (DoH ve DoT) için destek ekler". ZDNet. Arşivlendi 2020-06-27 tarihinde orjinalinden. Alındı 2020-07-02.
  12. ^ Gallagher, Sean (2019-11-19). "Microsoft, Windows'ta gelecekteki şifrelenmiş DNS isteklerine evet diyor". Ars Technica. Arşivlendi 2019-11-19 tarihinde orjinalinden. Alındı 2019-11-20.
  13. ^ "Windows 10 Insider Preview Build 19628 Duyurusu". 13 Mayıs 2020. Arşivlendi 18 Mayıs 2020'deki orjinalinden. Alındı 13 Mayıs 2020.
  14. ^ "Windows Insider'lar artık DNS'yi HTTPS üzerinden test edebilir". Arşivlendi 15 Mayıs 2020'deki orjinalinden. Alındı 7 Temmuz 2020.
  15. ^ Brinkmann, Martin (6 Ağustos 2020). "Windows 10 build 20185, şifrelenmiş DNS ayarlarıyla birlikte gelir - gHacks Tech News". gHacks Teknik Haberleri. Alındı 2020-08-06.
  16. ^ Wijngaards, Wouter. "Unbound 1.12.0 yayınlandı". NLnet Labs. Alındı 24 Ekim 2020.
  17. ^ Dolmans, Ralph. "DNS-over-HTTPS in Unbound". NLnet Labs Blogu. Alındı 24 Ekim 2020.
  18. ^ Wijngaards, Wouter. "Bağlanmamış 1.4.14 sürümü". Bağlantısız kullanıcılar posta listesi. Alındı 24 Ekim 2020.
  19. ^ Wijngaards, Wouter. "SSL desteği üzerinden dns". GitHub. Alındı 24 Ekim 2020.
  20. ^ "HTTPS üzerinden DNS (diğer adıyla DoH)". Arşivlendi 27 Mayıs 2020'deki orjinalinden. Alındı 23 Mayıs 2020.
  21. ^ "Chrome 83: HTTPS (Güvenli DNS) üzerinden DNS kullanıma sunuluyor". Arşivlendi 1 Haziran 2020'deki orjinalinden. Alındı 20 Temmuz 2020.
  22. ^ "Google, Android için Chrome'da Güvenli DNS desteğini sunuyor - gHacks Tech News". www.ghacks.net. Alındı 2020-09-04.
  23. ^ a b "İşte her tarayıcıda DoH'yi nasıl etkinleştireceğiniz, ISS'ler lanetlenecek". Arşivlendi 9 Haziran 2020'deki orjinalinden. Alındı 28 Mayıs 2020.
  24. ^ Mozilla. "Firefox, Kullanıcılara Özel ve Güvenli DNS Hizmetleri Sağlayan Yeni Ortağını Duyurdu". Mozilla Blogu. Arşivlendi 2020-02-25 tarihinde orjinalinden. Alındı 2020-02-25.
  25. ^ Deckelmann, Selena. "Firefox, ABD kullanıcıları için DNS'yi varsayılan olarak HTTPS üzerinden getirmeye devam ediyor". Mozilla Blogu. Arşivlendi 2020-05-27 tarihinde orjinalinden. Alındı 2020-05-28.
  26. ^ "Firefox 77.0.1 bir sorunu gidermek için bugün yayınlanacak - gHacks Tech News". www.ghacks.net. Arşivlendi 2020-06-09 tarihinde orjinalinden. Alındı 2020-06-09.
  27. ^ Brodkin, Jon (2020-06-25). "Comcast, Mozilla, Firefox'ta DNS aramalarını şifrelemek için gizlilik anlaşması yaptı". Ars Technica. Arşivlendi 2020-06-26 tarihinde orjinalinden. Alındı 2020-06-26.
  28. ^ "67 için Değişiklikler". Alındı 23 Ağustos 2020.
  29. ^ "HTTPS üzerinden DNS Uygulamaları". 2018-04-27. Arşivlendi 2018-04-02 tarihinde orjinalinden. Alındı 2018-04-27.
  30. ^ Cimpanu, Catalin. "HTTPS üzerinden DNS, çözdüğünden daha fazla soruna neden oluyor, uzmanlar diyor". ZDNet. Arşivlendi 2019-11-08 tarihinde orjinalinden. Alındı 2019-11-19.
  31. ^ Cimpanu, Catalin. "Yeni DoH (DNS üzerinden HTTPS) protokolünü kötüye kullanan ilk kötü amaçlı yazılım türü tespit edildi". ZDNet. Arşivlendi 2019-10-27 tarihinde orjinalinden. Alındı 2019-11-19.
  32. ^ "Circle ile şifrelenmiş DNS bağlantılarını (TLS üzerinden DNS, HTTPS üzerinden DNS) yönetme". Circle Destek Merkezi. Alındı 2020-07-07.
  33. ^ Inc, CleanBrowsing. "TLS Desteği üzerinden DNS ile Ebeveyn Kontrolü". CleanBrowsing. Alındı 2020-08-20.
  34. ^ Inc, CleanBrowsing. "HTTPS Üzerinden DNS (DoH) Desteği ile Ebeveyn Kontrolü". CleanBrowsing. Alındı 2020-08-20.
  35. ^ engelleyiciDNS. "blockerDNS - Ürünler". blockerdns.com. Alındı 2020-08-20.
  36. ^ "SafeDNS'de TLS üzerinden DNS ile gizliliğinizi koruyun". SafeDNS. Alındı 2020-08-20.
  37. ^ Cimpanu, Catalin. "İngiltere ISP grubu, 'HTTPS üzerinden DNS'yi desteklemek için Mozilla'ya' Internet Villain 'adını veriyor'". ZDNet. Arşivlendi 2019-07-05 tarihinde orjinalinden. Alındı 2019-07-05.
  38. ^ "İnternet grubu markaları, DNS gizlilik özelliğini desteklemek için Mozilla'nın 'internet kötü adamı'. TechCrunch. Alındı 2019-07-19.
  39. ^ "İngiliz ISS'ler web'i DAHA AZ güvenli hale getirmek için mücadele ediyor". IT PRO. Alındı 2019-09-14.
  40. ^ Patrawala, Fatema (2019-07-11). "ISPA, HTTP üzerinden DNS üzerinden" İnternet Kötü Adamı "kategorisinde Mozilla'yı aday gösterdi, topluluk tepkisinden sonra adayları ve kategorileri geri çekti". Packt Hub. Arşivlendi 2019-12-04 tarihinde orjinalinden. Alındı 2019-09-14.
  41. ^ Hern, Alex (2019-09-24). "Firefox: 'Birleşik Krallık'ın şifreli tarayıcı aracını varsayılan ayar yapma planı yok'". Gardiyan. ISSN  0261-3077. Arşivlendi 2019-09-28 tarihinde orjinalinden. Alındı 2019-09-29.

Dış bağlantılar