2020/10/06 17:58:35

DNS поверх HTTPS
DNS-over-HTTPS, DoH

DNS поверх HTTPS (DoH) — экспериментальный протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Атака посредника».

Содержание

2020

РСПП: предложенный Минцифры запрет протоколов шифрования сайтов отключит Россию от глобального интернета

Российский союз промышленников и предпринимателей (РСПП) раскритиковал предложение Минцифры запретить интернет-протоколы шифрования DNS-запросов. Эта инициатива, по мнению бизнеса, равносильна отключению России от глобального интернета. Об этом заключении РСПП стало известно 6 октября 2020 года.

Как пишет «Коммерсантъ» со ссылкой на отзыв РСПП к законопроекту, запрет современных протоколов шифрования сайтов сделает незаконным использование компьютеров и смартфонов. Законопроект также парализует работу информационных систем и приведёт к бюджетным затратам, заявили эксперты. Без шифрования трафик из банковской сферы — например, данные карт и транзакций — откроются мошенникам, предупредили в РСПП.

В РСПП раскритиковали предложенный Минцифры запрет протоколов шифрования сайтов

В союзе уверены, что в случае принятия закона будет необходимо модернизировать или изъять криптографии из всех государственных информационных систем, что повлечет за собой бюджетные затраты. В результате российские интернет-компании лишатся преимуществ, которые дают протоколы шифрования, и их конкурентные возможности и экспортный потенциал понизятся.

Опрошенные изданием эксперты в целом соглашаются с выводами РСПП. DoH- и DoT-протоколы в перспективе станут самыми популярными, их запрет грозит сложностями для российских компаний, уверен партнер и директор компании «Интеллектуальный резерв» Павел Мясоедов. При этом протоколы разрабатываются в первую очередь для повышения защищенности интернет-сервисов, так что их ограничение, действительно, будет на руку злоумышленникам, согласен партнер и руководитель практики управления киберрисками Deloitte Денис Липов.Витрина данных НОТА ВИЗОР для налогового мониторинга 2.1 т

В организации «Роскомсвобода» полагают, что «запрет использования современных протоколов и алгоритмов шифрования, которые применяются все большим количеством веб-сервисов и ИТ-компаний, сродни запрету устанавливать надежные замки на двери или непрозрачные занавески на окнах».[1]

Минцифры решило запретить интернет-протоколы, мешающие блокировкам сайтов

В сентябре 2020 года стало известно о решении Минцифры запретить использование в России протоколов шифрования DNS-запросов под угрозой блокировки сайтов.

Речь идет о протоколах TLS 1.3 с расширением ESNI (используется для размещения на одном IP-адресе нескольких HTTPS-сайтов), DoH (DNS поверх HTTPS), DoT (DNS поверх TLS) и расширении к протоколу. Они позволяют скрыть информацию о том, какой сайт собрался посетить пользователь,— тем самым провайдер интернета не может этого узнать и не может запретить пользователю переход на запрещенный ресурс.

Минцифры предложило запретить интернет-протоколы, скрывающие имя сайта

Как заявили в Минцифры, применение таких алгоритмов и методов шифрования может снизить эффективность использования существующих систем фильтрации. Это, в свою очередь, значительно затруднит выявление интернет-ресурсов, содержащих запрещённую в России информацию.

В связи с этим ведомство предлагает внести поправки в закон «Об информации, информационных технологиях и о защите информации». Проект запрещает использовать в стране протоколы шифрования, позволяющие скрыть имя (идентификатор) веб-страницы или сайта. Исключения составляют случаи,  установленные российским законодательством.

«
Все преимущества новых протоколов шифрования запросов DNS для пользователей очевидны, но надо понимать, что их широкое распространение позволит также обходить все существующие системы фильтрации и блокировок запрещенных сайтов, в том числе сайтов, которые содержат противоправный контент (экстремистский контент, контент, нарушающий авторские права, контент, содержащий детскую порнографию), — сказал глава Минцифры Максут Шадаев.
»

Законопроект предусматривает: если Роскомнадзор узнает об использовании протоколов шифрования, позволяющих скрыть имя сайта, он заблокирует этот ресурс. Любое шифрование в сети скрывает данные, а чем меньше данных видно, тем хуже работают блокировки, объясняет технический директор QRator Labs Артем Гавриченков.[2] 

Власти РФ отработают блокировку трафика, проходящего по протоколам DNS over HTTPS и DNS over TLS

15 января 2020 года стало известно о том, что Минкомсвязи утвердил график проведения в 2020 г. плановых учений по обеспечению устойчивого, безопасного и целостного функционирования на территории России сети интернет и сетей связи общего пользования. Документ за подписью временно исполняющего обязанности министра связи Алексея Волина опубликован на сайте министерства.

Согласно приказу министерства, 20 марта 2020 г. будет отработана возможность по блокировки трафика, защищенного с использованием технологией DNS поверх HTTPS (DoH) и DNS поверх TLS. Подробнее здесь.

2019

Угрозы и перспективы развития системы DNS

26 ноября в Берлине состоялось открытие 14-го Всемирного форума по управлению интернетом. Мероприятие проходит под эгидой Организации объединенных наций, принимающей стороной выступило Министерство экономики Германии. На форум зарегистрировалось более 3 тысяч участников.

Начальник отдела внешних коммуникаций Координационного центра доменов .RU/.РФ Михаил Анисимов прокомментировал возможные последствия использования технологии DoH (DNS over HTTPS). По его словам, особенно важно участвовать не только в разработке стандартов, но и в создании рекомендаций по внедрению технологий. DoH при всех тех возможностях, которые технология дает для обеспечении приватности пользователей, сильно меняет сложившуюся экосистему информационной безопасности. Она затрудняет блокировку противоправного контента, часто нарушает многие корпоративные политики безопасности и концентрирует большое количество обрабатываемых запросов в руках крупных корпораций. Таким образом можно говорить о «корпоративных» сегментах интернета, которые теоретически могут друг с другом даже не пересекатся – интернет Google, интернет CloudFlare и других.

Внедрение в Windows 10

В ноябре 2019 года Microsoft сообщила о внедрении протокола шифрования «DNS поверх HTTPS» (DNS-over-HTTPS, DoH) в операционную систему Windows 10.

Использование технологии на практике означает возможность обхода любых блокировок запрещенных сайтов по DNS, поскольку все DNS-запросы будут передаваться в зашифрованном виде, а блокировки по IP-адресу будут преодолеваться изменением IP заблокированного адреса.

Microsoft внедряет в Windows 10 сервис, позволяющий обходить все блокировки Роскомнадзора

Шифрование по протоколу DNS-over-HTTPS в перспективе также может оставить не у дел методику глубокой проверки и управления сетевым трафиком Deep Packet Inspection (DPI), взятую на вооружение Роскомнадзором, поскольку фильтрация пакетов зашифрованного https-трафика со множества IP-адресов потеряет смысл.

Разработчики из подразделения Windows Core Networking Томми Дженсен, Иван Пашо и Габриэль Монтенегро предупредили, что поддержку DoH нелегко реализовать без нарушения настроек администратора в Windows-устройствах.

«
Однако мы должны относиться к конфиденциальности как к праву человека. Мы должны иметь комплексную кибербезопасность, встроенную в технологию. Бытует мнение, что шифрование DNS может осуществляться только централизованно. Это верно только в случае, если внедрение шифрования DNS не является повсеместным. Для того чтобы сохранить децентрализацию DNS, и операционные системы клиентов (например, Windows), и интернет-провайдеры должны внедрить шифрование DNS, — заявили они.
»

Компания также подчёркивает, что DoH в Windows 10 к ноябрю 2019 года имеет статус приоритетной задачи, поскольку поможет как частным клиентам, так и компаниям, которые смогут использовать уже существующую HTTPS-инфраструктуру для более быстрого шифрования DNS.

Широко распространенный стандарт DoH гарантирует, что его не нужно будет централизовать, а это должно сделать всю экосистему интернета более здоровой, уверены в Microsoft.[3]

Включение протокола DNS-over-HTTPS в браузер Google Chrome 78

13 сентября 2019 года стало известно, что разработчики проекта Chromium из компании Google объявили о планах экспериментальной обкатки протокола шифрования «DNS поверх HTTPS» (DNS-over-HTTPS, DoH) в сборке браузера Chrome под номером 78, стабильный релиз которого ожидается 22 октября 2019 года. Подробнее здесь.

Включение протокола DNS-over-HTTPS в браузер Firefox

11 сентября 2019 года стало известно, что разработчики из Mozilla Corporation сообщили об успешном испытании экспериментального протокола шифрования DNS поверх HTTPS (DNS-over-HTTPS, DoH). Он обеспечивает получение информации о домене (DNS) через криптографически защищенный протокол HTTPS. Подробнее здесь.

Как работает DNS-over-HTTPS

Для блокировки сайтов провайдерам или регуляторам требуется знать доменное имя (URL), получаемое через DNS-запрос, и IP-адрес блокируемого ресурса. В случае, если DNS-запрос скрыт шифрованием – например, с помощью протокола DNS-over-HTTPS, провайдер не сможет блокировать конкретный ресурс из-за скрытого от него URL.

Сравнение системы DNS и DNS-over-HTTPS

В случае, если заблокированный ресурс предоставит один IP-адрес для открытого DNS-запроса и другой для DNS-запроса с шифрованием по протоколу DNS-over-HTTPS, блокировки также станут бессильны. Техническими партнерами для реализации такой возможности выступают современные CDN-провайдеры.

Технически незашифрованный URL может быть также перехвачен через поле запроса SNI (Server Name Indication) – специальное расширение протокола TLS, в котором есть возможность сообщить имя хоста в процессе «рукопожатия» для открытия криптографически защищенной SSL-сессии.

Схема работы протокола TLS 1.3 со включенным Encrypted SNI

Для этих целей разработан стандарт зашифрованной передачи имени хоста – Encrypted SNI (ESNI), где клиентская система получает публичный ключ сервера из DNS и производит шифрование всех данных еще до начала TLS-сессии. По состоянию на сентябрь 2019 года ряд CDN-провайдеров, экспериментирующих с внедрением DNS-over-HTTPS, также поддерживают технологию Encrypted SNI.[4]

Смотрите также

Примечания