Việc chặn lưu lượng DNS trái phép cung cấp đủ thông tin để xác định suy nghĩ, mong muốn, hy vọng và ước mơ của người dùng internet. Không chỉ có mối quan tâm về quyền riêng tư từ những người hàng xóm tò mò gần đó, mà chính phủ và các tập đoàn có thể sử dụng thông tin đó để tìm hiểu về hành vi internet của cá nhân và sử dụng nó để lập hồ sơ cho họ và tổ chức của họ cho mục đích chính trị hoặc nhắm mục tiêu cho họ bằng quảng cáo.
Những nỗ lực như Dự án bảo mật DNS nhằm nâng cao nhận thức về vấn đề này và cung cấp các gợi ý cho các tài nguyên để giúp giảm thiểu các mối đe dọa này.
IETF cũng đang nghiên cứu vấn đề này. Họ đã thành lập nhóm làm việc DNS PRIVate Exchange (DPRIVE) để xác định các vấn đề và đánh giá các tùy chọn để giảm thiểu các mối đe dọa bảo mật. Một trong những nỗ lực chính của nó là tạo ra các phương thức theo đó DNS có thể được sử dụng qua HTTP (DOH). Mặc dù các truy vấn DNS có thể diễn ra rõ ràng qua HTTP, nhưng điều đó sẽ không giải quyết được vấn đề bảo mật không được mã hóa. Do đó, việc phát triển giao thức đã có trên Truy vấn DNS qua HTTPS (còn được gọi là DOH), được chuẩn hóa vào tháng 10 năm 2018.
(Mặc dù bài viết này đề cập đến DNS qua HTTPS, nhưng tiêu chuẩn được đề xuất chính của IETF để bảo mật lưu lượng DNS là Đặc tả kỹ thuật cho DNS trên Bảo mật lớp vận chuyển (TLS) (DOT) ( RFC 7858 ). Vì lưu lượng DNS sử dụng tin nhắn UDP, IETF cũng đã xuất bản DNS DNS trên Datagram Transport Layer Security (DTLS) ‘( RFC 8094 ). Nhóm làm việc IETF DPRIVE cũng đã xuất bản Hồ sơ sử dụng cho DNS qua TLS và DNS qua DTLS tựa ( RFC 8310 ).)
Cách vận hành DNS thông qua HTTPS hoạt động
DOH sử dụng kết nối trực tiếp giữa người dùng cuối và giao diện của máy chủ web. Do truy vấn và phản hồi DNS đang diễn ra trên giao diện HTTP dựa trên web, nên định dạng phản hồi DNS sử dụng ký hiệu JSON . Điều này khác với định dạng bản ghi tài nguyên và truy vấn DNS truyền thống và cho phép tích hợp đơn giản hơn với các ứng dụng dựa trên web.
DOH có thể được triển khai như một dịch vụ proxy cục bộ chạy trên máy tính của người dùng cuối đang lắng nghe các truy vấn DNS bằng cổng TCP hoặc UDP 53. Dịch vụ proxy cục bộ này chuyển đổi các truy vấn DNS thành kết nối HTTPS thành dịch vụ DOH. Trong trường hợp DNS qua HTTPS, kết nối được tạo bằng cổng TCP 443. (Khi DNS qua TLS được sử dụng, thì cổng TCP 853 được sử dụng.)
DOH cũng có thể được thực hiện trong trình duyệt web của người dùng. Khi trình duyệt tạo kết nối tới một URL mới, nó sẽ kết nối với dịch vụ DOH được cấu hình sẵn bằng TCP 853 và truy xuất phản hồi JSON có chứa địa chỉ IP kết quả.
DOH được các nhà cung cấp nội dung quan tâm vì họ muốn giúp bảo vệ quyền riêng tư của người dùng và người đăng ký. Các nhà cung cấp nội dung mong muốn quyền kiểm soát DNS lớn hơn cho khách hàng của họ, đảm bảo rằng khách hàng của họ được cung cấp thông tin chính xác về địa chỉ IP, giảm nhẹ con người trong các cuộc tấn công trung gian và cung cấp dịch vụ nhanh hơn bất kể hệ điều hành hoặc vị trí của khách hàng.
Các thuật ngữ DNS qua HTTP (DOH), DNS qua HTTPS (DOH) và DNS qua TLS (DOT) thường được sử dụng thay thế cho nhau, nhưng điều quan trọng là phải phân biệt giữa HTTP, HTTPS và TLS bên dưới chức năng DNS dựa trên web này.
Mặc dù DOH có thể đóng góp cho quyền riêng tư trên internet, nhưng cũng rất quan trọng để nhận ra có nhiều cách khác để giải quyết vấn đề.
DOH thay thế
Vì lợi ích của sự hoàn thiện, cũng có những phương pháp khác đã được đề xuất và đang sử dụng chức năng đó như DOH. Ví dụ: DNS qua HTTP cũng có thể sử dụng HTTP / 2 . HTTP / 2 là một phiên bản tối ưu hóa của HTTP, cho phép các luồng đa kênh để tìm nạp đồng thời, ưu tiên yêu cầu, nén tiêu đề và đẩy máy chủ. Trong trường hợp này, trình phân giải web có thể sử dụng phương thức Đẩy máy chủ HTTP / 2 để gửi / đẩy các bản cập nhật DNS cho máy khách. Điều này có thể được sử dụng để chủ động thông báo cho khách hàng rằng một bản cập nhật đã xảy ra. Đây có thể là một phương pháp ngay lập tức hơn so với cách tiếp cận lịch sử chờ đợi bản ghi DNS của DNS hết hạn.
DNS cũng có thể hoạt động trên giao thức QUIC . Kết nối Internet UDP nhanh (QUIC) là một giao thức lớp vận chuyển được tối ưu hóa, cung cấp độ tin cậy của TCP với các kết nối đa kênh và tối ưu hóa hiệu suất. Mặc dù đây là dự thảo hiện tại và IETF , có nhiều cách để tận dụng giao thức QUIC vì những cải tiến hiệu suất của nó cho các máy chủ web.
Ngoài ra còn có các phương pháp không phải IETF khác để cung cấp mã hóa các truy vấn DNS. DNSCrypt là phương pháp sử dụng mã hóa để bảo mật các thông điệp DNS truyền thống giữa người dùng cuối và trình phân giải. DNSCrypt có thể hỗ trợ các tin nhắn TCP hoặc UDP DNS qua cổng TCP 443. Phiên bản 2 hiện tại của đặc tả giao thức DNSCrypt được ghi lại công khai. DNSCurve là một phương pháp tương tự, nhưng nó sử dụng mật mã đường cong elliptic với Curve25519 (thuật toán X25519) để bảo mật DNS. DNSCurve đã được phát triển từ năm 2009.
Triển khai DOH
Động lực đang xây dựng cho các giải pháp DOH và bây giờ có các ví dụ triển khai chứng minh rằng các phương pháp này hoạt động. Danh sách các máy chủ DOH có sẵn công khai này cung cấp các liên kết đến các dịch vụ đó và Dự án bảo mật DNS.