Что такое DNS-over-HTTPS. Как и где используется

В этой статье поговорим о новой технологии  DNS-over-HTTPS (DoH), которая сразу привлекла к себе много интереса со стороны Интернет пользователей. Что это за технология? Зачем нужна и где используется? Ответы на эти вопросы и все, что нужно знать о DNS-over-HTTPS, разберем здесь более детально.

Основной целью DNS-over-HTTPS  есть шифрование DNS запросов. Системы доменных имен (DNS) играют очень важную роль, когда нужно осуществить поиск нужного сайта в сети Интернет.  В строке ввода в браузере при указании доменного имени, сформированный DNS запрос от браузера направляется на сервер с IP адресом указан в A/AAAA записи для этого домена. DNS запрос и ответ на него формируется и предоставляется в открытом виде без шифрования. Это и есть главной проблемой, так как мошенники могут перехватить и воспользоваться информацией в своих корыстных целях. Поэтому  на решения этой задачи по безопасности данных было положено много сил и времени. 

Уже существующая технология DNSSEC (Domain Name System Security Extensions  - расширения безопасности системы доменных имен) была создана для снижения  вероятности подделки DNS-трафика. Но DNSSEC не шифрует трафик, а с помощью использования криптографии с открытым ключом обеспечивает аутентификацию и целостность данных, что может гарантировать не изменение  содержания запроса и ответа во время их передачи. 

Чтобы заполнить этот большой пробел, появилось много конкурирующих технологий, таких как DNSCurve и DNSCrypt. Хотя эти технологии пытаются обеспечить конфиденциальность между клиентом и сервером DNS, у них есть один недочет - они не стандартизированы. Инженерный совет Интернета IETF (Internet Engineering Task Force) признает необходимость конфиденциальности DNS. Все усилия направлены на стандартизацию кодировок для DNS-запросов и ответов, которые подходят для использования в HTTPS, позволяя стандартному и совместимому механизму для DNS разрешаться через безопасные соединения TCP с использованием протокола HTTP/2. Это гибридный подход, который пытается максимально интегрировать стандартные методы HTTP, коды ошибок и другую семантику, сохраняя при этом характер ответа на запрос традиционного протокола DNS.

По этим подходам IETF в 2016 году выпустил два новых стандарта, которые отвечают требованиям безопасности, ними являются протоколы DNS-over-TLS (DoT), стандарт RFC 7858 и DNS-over-HTTPS (DoH), стандарт RFC 8484. 

Вышеуказанные протоколы были в основном продвинуты браузерными компаниями (Mozilla и Google), недовольными тем, как DNS предлагал защиту транспортного уровня. Каждый из этих протоколов предоставляет средства для защиты передачи данных во время поиска доменного имени в Интернете, и предотвращают мониторинг и злоупотребление данными пользователя в этом процессе. Новое внедрение  DoH в большинстве было направлено и разрабатывалась под браузеры. Для использования DNS-over-HTTPS потребуется и DNS-сервер, и клиент, который поддерживает протокол. Это значит, что технология касается трафика, который идет через браузер и не покрывает другие интернет службы, например, почту или мессенджеры. 

Теперь перейдем к тому как реализуется протокол. При использовании данного протокола, DoH-клиент обращается к DNS-серверу, который должен обязательно поддерживать DOH через стандартный TCP-порт 443. Шифрование соединения не позволяет сетевым посредникам прослеживать, какие адреса ищет браузер или же подделать ответ, все запросы конфиденциальны и защищены между ПК и доверенным DNS Resolver. Дальше DoH-клиент получает сертификат сервера и проверяет его, а затем генерирует симметричный ключ шифрования, используя алгоритм шифрования, который поддерживают обе стороны, для фактического шифрования данных.  Трафик через браузер идет обминая все настройки DNS на уровне сети и провайдера, по HTTPS попадает сразу к поддерживающему DoH DNS Resolver, на котором и идет обработка запросов через Web API. Что вызвало недовольство к этой схеме, особенно интернет-провайдерами, из-за невозможности вести свой контроль и обеспечить юридические обязательства. Однако Firefox заявил, что они автоматически отключат DoH, если обнаружат родительский контроль в сети. DoH кодирует данные DNS в сеансах HTTPS в форме GET и POST запросов. При использовании метода GET DNS-запрос кодируется как Base64Url, и является единственным методом, поддерживаемым JSON API. А метод POST поддерживается для API RFC 8484 и помещает бинарный DNS-запрос в тело HTTP-объекта POST.

Внедрение новой технологии идет стремительно, много мировых компаний подхватили это направление, среди них Microsoft, Google, Mozilla, Cloudflare и другие. В блоге Chromium объявили, что с сентября 2019 года в версии Chrome 78 будет в качестве эксперимента включено использование DoH, если существующий DNS-провайдер пользователя находится в списке выбранных DoH-совместимых провайдеров, которые  включены в браузер. Если провайдера пользователя нет в списке, тогда браузер использует стандартный протокол DNS. Также в сентябре 2019 года Mozilla объявила, что будет внедрять DoH в качестве настройки по умолчанию для своего браузера в Firefox 60+ в США. Это заявление Mozilla подвергся критике, поскольку, в отличие от реализации Google, Firefox будет использовать DoH-серверы Cloudflare по умолчанию (хотя пользователь может вручную указать и другого поставщика). А представители Microsoft объявили о планах поддержки DoH на уровне операционной системы Windows. 

Нашумевшая технология вызвала большое количество споров и разных мнений критиков, много кто не поддерживает этот протокол. Но сам факт, что идут работы и эксперименты касательно безопасности в сети, является большим плюсом. А время покажет как проявит себя данная технология.