HTTPS上的DNS导致的问题多于解决的问题

HTTPS上的DNS(DoH)协议并不是近几个月来许多人提倡的隐私灵丹妙药。

如果我们要听听网络和网络安全专家的意见,那么该协议就毫无用处,并且会引起更多的问题,而且还无法解决,并且越来越多的人对DoH及其作为一种可行的隐私保护方法进行宣传的批评。

TL; DR是大多数专家认为DoH不好的地方,人们应该将精力集中在实现更好的方式来加密DNS流量(例如,基于TLS的DNS)而不是DoH。

什么是卫生部和简短的历史

HTTPS上的DNS协议是最新发明。它创建于几年前,并于去年10月被提议作为互联网标准(IETF RFC8484)。Android已支持它,并计划于今年晚些时候在Mozilla Firefox和Google Chrome中推出。

该协议本身通过更改DNS的工作方式来工作。到目前为止,使用从网络提供商(通常是互联网服务提供商(ISP))接收到的本地操作系统的DNS设置,以纯文本形式从应用程序到DNS服务器进行DNS查询。

卫生部改变了这一范式。DoH对DNS查询进行加密,这些查询伪装成常规的HTTPS流量-因此是HTTP-over-HTTPS名称。这些DoH查询被发送到支持DoH的特殊DNS服务器(称为DoH解析器),该服务器在DoH请求中解析DNS查询,并以加密方式答复用户。

由于上述所有原因,具有DoH功能的产品的公司和组织一直在宣传DoH,以防止ISP跟踪用户的网络流量,并绕过压迫性国家的审查制度。

但是许多博学的人说这是谎言。网络和网络安全领域的几位专家公开批评了围绕DoH的一些主张以及将DoH推向任何地方的努力。

他们说,DoH并不是某些公司为了提高其作为“隐私第一”组织的形象而一直在营销活动中推广的神奇的用户隐私解决方案。

专家说,这些公司对推销一个半生熟的协议不负责任,该协议实际上并不能保护用户,并且会带来比修复更严重的问题,特别是在企业领域。

在某些情况下,对DoH的膏霜作为主要的隐私保护解决方案的反应是彻头彻尾的酸。评论家对协议在不同的平原上采取了刺戳,我们将尝试在下面进行整理和分类:

DoH实际上并没有阻止ISP用户跟踪

卫生部在企业领域造成严重破坏

卫生部削弱网络安全

卫生部帮助罪犯

不应该向异议人士推荐DoH

DoH将DNS流量集中在几个DoH解析器上

DOH实际上并没有阻止ISP用户跟踪

DoH支持者在过去一年一直在抱怨的主要观点之一是,DoH阻止ISP跟踪用户的DNS请求,从而阻止他们跟踪用户的网络流量习惯。

是。DoH阻止ISP查看用户的DNS请求。

但是,DNS并不是Web浏览中涉及的唯一协议。ISP仍然可以跟踪无数其他数据点,以了解用户的去向。有人说DoH阻止ISP跟踪用户是在撒谎还是不了解网络流量的工作方式。

如果用户正在访问通过HTTP加载的网站,则使用DoH是没有意义的,因为ISP仍然可以通过简单地查看纯文本HTTP请求来知道用户正在访问哪个URL。

但是,即使用户正在访问HTTPS网站,也是如此。ISP会知道用户连接到哪个站点,因为HTTPS协议不完善,并且HTTPS连接的某些部分未加密。

专家表示,DoH完全不会给ISP带来不便,因为它们可以轻松查看未加密的HTTPS部分-例如SNI字段和OCSP连接。

DoH精确加密零数据,这些数据尚未以未加密形式存在。就目前而言,使用DoH仅会提供*其他*数据泄漏。SNI,IP地址,OCSP和其余的HTTP连接仍然可以提供其余的信息。这是2019年的伪造隐私。

-Bert Hubert🇪🇺(@PowerDNS_Bert)2019年9月22日

此外,ISP无论如何都了解每个人的流量。通过设计,他们可以查看用户在访问网站时正在连接的IP地址。

该IP地址无法隐藏。知道最终的IP目的地将揭示用户正在连接哪个网站,即使有关其流量的所有信息都已加密。今年八月发布的研究表明,第三方可以仅通过查看IP地址就能以95%的准确度识别用户连接到的网站。

专家认为,DoH阻止ISP跟踪用户的任何说法都是虚假且具有误导性的。DoH只是通过使ISP看不到一个媒介而给ISP带来不便,但是它们还有很多其他媒介。

卫生部绕过企业政策

第二个主要话题是DoH对企业部门的影响,系统管理员在其中使用本地DNS服务器和基于DNS的软件来筛选和监视本地流量,以防止用户访问与工作无关的站点和恶意软件域。

自提出以来,对于企业来说,DoH一直是噩梦。DoH基本上创建了一种机制来覆盖集中施加的DNS设置,并允许员工使用DoH绕过任何基于DNS的流量过滤解决方案。

由于当今的DNS服务器不支持DoH查询,因此当前支持DoH的应用随附了经过硬编码的DoH服务器列表,从而有效地将DoH与操作系统的常规DNS设置区分开来(一种大型的软件设计,禁忌已经激怒了一些开发人员,例如OpenDNS小组)。

系统管理员需要密切注意整个操作系统的DNS设置,以防止DNS劫持攻击。拥有数百个具有自己独特的DoH设置的应用程序是一场噩梦,因为这几乎使监视DNS劫持成为不可能。

此外,由于某些原因,企业内部某些域的通信被阻止。

一旦DoH广泛可用,它将成为所有员工最喜欢的绕过企业过滤器来访问通常在工作场所被阻止的内容的方法。

有些人可能会使用它来访问电影流媒体网站或成人内容,但是一旦启用,DoH就会保持启用状态,并且员工也可能不小心访问了恶意软件和网络钓鱼网站,这将我们带到了下一个要点。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。