Trong khi chúng nghe giống như vậy, có một sự khác biệt lớn và nó gây ra một cuộc tranh luận nóng bỏng.
DNS over TLS (DoT) và DNS over HTTPS (DoH) nghe có vẻ giống nhau và khá là khó để phân biệt. Nhất là cả 2 lại cùng thực hiện một nhiệm vụ- mã hóa các DNS request – nhưng có một khác biệt lớn: cổng sử dụng.
Có rất nhiều thứ để phân tích ở đây, nhưng rất đáng để tìm hiểu chi tiết để cung cấp cho bạn ý tưởng tốt hơn về sự khác biệt giữa DNS over TLS & DNS over HTTPS — và tại sao đây là một cuộc thảo luận quan trọng.
Vì vậy, hãy cùng tìm hiểu.
DNS là gì? Tại sao cần TLS hoặc HTTPS?
DNS là viết tắt của Domain Name System. DNS sẽ có nhiệm vụ phiên dịch các địa chỉ IP thành các kí tự mà người dùng có thể hiểu và ngược lại phiên dịch các URL thành địa chỉ IP để máy có thể hiểu
Ví dụ: khi bạn muốn truy cập ssl.vn, máy chủ DNS sẽ lấy URL đó và tìm địa chỉ IP được liên kết với nó, trong trường hợp này là 107.23.230.173.
Nếu bạn muốn tìm địa chỉ IP của trang web bạn đang truy cập, thật dễ dàng trên cả Windows và Mac. Người dùng Windows chỉ cần gõ “cmd” vào thanh tìm kiếm và mở Command Prompt, sau đó gõ:
tracert anydomain.com
Với người dùng Apple thì việc này sẽ dễ dàng và đơn giản hơn. Trong thanh tìm kiếm của Mac, gõ “Network Utility” và nhấn để mở nó. Sau đó điều hướng đến tab Traceroute và nhập tên miền vào trường theo dõi.
Trong lịch sử, các yêu cầu DNS đã được thực hiện bằng cách sử dụng giao thức UDP hoặc TCP — có nghĩa là chúng được gửi đi trong văn bản thuần túy.
Và như chúng ta sẽ thảo luận, đó có thể là một vấn đề.
Tại sao chúng ta cần mã hóa các yêu cầu DNS?
Theo Freedom House , chưa đến một phần tư số người dùng internet trên thế giới sống ở một quốc gia nơi internet được chỉ định là Miễn phí. Đó là miễn phí về quyền và tự do – không phải giá cả. 36% phần trăm người dùng internet sống ở một quốc gia nơi internet bị hạn chế hoàn toàn và 28% người khác sống ở một quốc gia nơi internet bị hạn chế một phần.
Một vài tuần trước toàn bộ đất nước Ethiopia đã truy cập internet của nó tắt để cố gắng dập tắt những gì trông giống như, tại thời điểm đó, một cuộc đảo chính quân sự tiềm năng.
Và khi lịch sử internet của bạn có thể dẫn đến việc bạn bị giam giữ, bị tổn hại hoặc thậm chí bị giết – có thể làm xáo trộn những yêu cầu DNS đó có thể là vấn đề sống hay chết. Điều đó có vẻ là hyperbolic, nhưng không mất nhiều nghiên cứu để bật lên những gì có thể xảy ra cho những người thường xuyên bị gán nhãn cho những người bất đồng chính kiến dựa trên việc sử dụng internet của họ .
Đó là lý do tại sao, đối với một số bên liên quan đến cuộc tranh luận này, đây là vấn đề nhân quyền – một vấn đề có thể khuấy động cảm xúc đáng kể.
Không ai tranh luận rằng các yêu cầu DNS không nên được mã hóa, đối số là cách tốt nhất để làm điều đó.
Ok, vậy sự khác biệt giữa DNS over TLS & DNS over HTTPS là gì?
Mặc dù cả hai tiêu chuẩn này mã hóa các yêu cầu DNS, có một số khác biệt quan trọng giữa DNS over TLS so với DNS over HTTPS. IETF đã xác định DNS over HTTPS là RFC 8484 và nó được định nghĩa HTTPS over TLS là RFC 7858 và RFC 8310 .
DNS over TLS sử dụng TCP làm giao thức kết nối cơ bản và các lớp trên mã hóa và xác thực TLS. DNS over HTTPS sử dụng HTTPS và HTTP / 2 để thực hiện kết nối.
Đây là một sự khác biệt quan trọng vì nó ảnh hưởng đến cổng nào được sử dụng. DNS over TLS có cổng riêng của nó, Cổng 853. DNS over HTTPS sử dụng Cổng 443, là cổng chuẩn cho lưu lượng HTTPS.
Trong khi có một cổng chuyên dụng có vẻ như nó sẽ là một lợi thế, trong một số ngữ cảnh nhất định, nó thực sự hoàn toàn ngược lại. Mặc dù DNS over HTTPS có thể ẩn trong phần còn lại của lưu lượng được mã hóa, DNS over TLS phát ra từ một cổng duy nhất, nơi bất kỳ ai ở cấp mạng đều có thể dễ dàng xem chúng và thậm chí chặn chúng.
Cấp, bản thân yêu cầu – nội dung hoặc phản hồi của nó – được mã hóa. Vì vậy, bạn sẽ không biết những gì đã được yêu cầu, nhưng họ sẽ biết bạn đang sử dụng DNS over TLS. Và ít nhất điều đó sẽ làm tăng sự nghi ngờ.
Trường hợp DNS over TLS
Paul Vixie là một trong những kiến trúc sư của DNS. Và đưa ra chủ đề, ý kiến của ông có trọng lượng đáng kể. Cuối tuần qua, anh trả lời Nick Sullivan, người đứng đầu mật mã tại thông báo Twitter của Cloudflare về RFC 8484 (DNS over HTTPS) bằng cách lên tiếng phản đối :
RFC 8484 is a cluster duck for internet security. Sorry to rain on your parade. The inmates have taken over the asylum
Sự phản đối của Vixie ít được làm theo quan điểm của một nhà hoạt động nhân quyền tận tâm và nhiều hơn nữa từ quan điểm của một cựu chiến binh an ninh dày dạn kinh nghiệm. Những hạn chế về nhân quyền giống nhau, khả năng xác định các yêu cầu của DoT – cũng là một lợi ích đối với an ninh.
Nó không giống như HTTPS inspection. Ý tưởng làm gián đoạn kết nối HTTPS có vẻ như là một ý tưởng tồi, và chắc chắn có một phân đoạn của cộng đồng infosec có sự tập trung vào bảo mật và cho rằng việc này làm suy yếu mã hóa . Nhưng cũng có các quản trị viên mạng doanh nghiệp và nhân viên an ninh sẽ không thể từ bỏ khả năng kiểm tra lưu lượng truy cập của họ. Mất tầm nhìn đó là một phần của những gì dẫn đến vi phạm Equifax . Những kẻ tấn công thích ẩn trong lưu lượng được mã hóa, một điểm được nhắc lại bởi các cuộc tấn công Magecart gần đây .
DNS over TLS có nhiều sắc thái, rất hữu ích từ quan điểm về sức khỏe mạng. DNS over HTTPS mặt khác…
DoH là một điểm vượt qua hàng đầu của doanh nghiệp và các mạng riêng khác. Nhưng DNS là một phần của mặt phẳng điều khiển và các nhà khai thác mạng phải có khả năng theo dõi và lọc nó. Sử dụng DoT, không bao giờ DoH, ” Vixie tweet .
Vixie lập luận rằng DNS over HTTPS loại bỏ một trình phân biệt quan trọng hỗ trợ kiểm tra giao thông. Nó cũng làm cho việc chặn các trang web khác khó khăn hơn vì thay vì chỉ tắt các yêu cầu DNS đến thông qua một cổng cụ thể, bạn phải chặn tất cả lưu lượng HTTPS có thể dẫn đến tất cả các loại nhức đầu.
Đó là một điều tốt từ quan điểm của nhân quyền và điều xấu từ một mạng lưới an ninh mạng.
Tiêu chuẩn tốt hơn, DNS over HTTPS hoặc DNS over TLS là gì?
Với thực tế, đây là một vấn đề về nhân quyền bị ràng buộc để bùng phát, nhưng điều quan trọng cần nhớ là bên ủng hộ DNS over TLS, điều này có lợi cho cách tiếp cận bảo mật mạng nhưng có khả năng mở ra một số lo ngại về quyền riêng tư. Lạnh lùng hoặc thiếu sự đồng cảm, họ chỉ xem điều này từ một quan điểm khác.
Đôi khi điều tốt nhất từ quan điểm định tính, và điều tốt nhất từ nhân quyền hoặc thậm chí quan điểm đạo đức cũng không phù hợp. Đối với nhiều người ủng hộ quan điểm DNS over TLS, điều này không liên quan gì đến các vấn đề bảo mật trong thế giới thực và mọi thứ liên quan đến thực tế họ thấy DNS over HTTPS là tiêu chuẩn kém hơn so với DNS over TLS.
Đây không phải là làm việc trong sự tôn trọng lương tâm xã hội đối với họ, đó là về việc thiết kế một tiêu chuẩn hiệu quả nhất.
Không ai chiến đấu chống lại sự riêng tư, ngay cả khi không phải ai cũng chiến đấu vì điều tương tự.
Chúng tôi sẽ tiếp tục cập nhật cho bạn về điều này khi phát triển hơn. Như mọi khi, hãy để lại bất kỳ nhận xét hoặc câu hỏi nào bên dưới…