DNS-over-HTTPS – ratunek czy zagrożenie?

7 października 2019, 14:20

Naukowcy zajmujący się sprawami cyberbezpieczeństwa nie są przekonani, że nowy rodzaj protokołu, zwany DNS-over-HTTPS, jest dobrym rozwiązaniem.

DNS-over-HTTPS – ratunek czy zagrożenie?

DNS-over-HTTPS (DoH) to nowy rodzaj protokołu, który pojawił się w lipcu br. w przeglądarce Firefox. Na pozór działa on tak samo jak standardowy protokół: przesyła nazwę domeny wprowadzoną przez użytkownika jako zapytanie do serwera DNS, skąd otrzymuje adres IP niezbędny do nawiązania połączenia ze stroną. DoH przekazuje zapytanie za pośrednictwem tzw. portu 443 – jest to połączenie szyfrowane, co pozwala użytkownikowi zachować prywatność. Dociera ono nie bezpośrednio do serwera DNS, lecz na specjalne serwery zwane resolverami. Ich zadaniem jest zdekodowanie zapytania, dostarczenie go do właściwego serwera, a następnie udzielenie użytkownikowi odpowiedzi taką samą drogą. Resolvery pozwalają też na łatwe ominięcie cenzury.

Rozwiązanie jest teoretycznie dobre, ale wciąż trwa nad nim debata. Portal ZDNet przygotował zestawienie powodów, dla których ta technologia nie do końca przekonuje ekspertów ds. bezpieczeństwa. Uważają oni, że nowe rozwiązanie, zamiast realnie chronić bezpieczeństwo, generuje tylko większe problemy. Ich zdaniem nadmierna wiara w zbawienny wpływ protokołu DoH na bezpieczeństwo w sieci może być zgubna.

Przede wszystkim wskazują na to, że wbrew opiniom jego zwolenników DoH wcale nie uniemożliwia śledzenia ruchu sieciowego użytkownika. Co prawda rzeczywiście blokuje dostawcy usług możliwość podglądu żądań DNS wysyłanych z komputera, jednak dostawca wcale nie potrzebuje adresu strony, bo cały czas ma dostęp do tekstowego adresu URL, wpisywanego w przeglądarce. Nie wszystkie elementy połączenia HTTPS są szyfrowane.

Zdaniem naukowców wpływ DoH może być zgubny również dla sektora przedsiębiorstw, który najczęściej korzysta z filtrowania i monitorowania ruchu opartego na DNS, co ma na celu zablokowanie pracownikom dostępu do witryn internetowych niezwiązanych z pracą. A ich aktywność na tym polu wpływa negatywnie na efektywność pracy, ale też na cyberbezpieczeństwo firmy. Wreszcie DoH pozwala ominąć zabezpieczenia chroniące nas przed dostępem do witryn ze szkodliwym oprogramowaniem.

Zastosowanie nowego protokołu przyczynia się też do centralizacji ruchu sieciowego – witryny nie mają swojego osobnego resolvera, więc wysyłane do odkodowania zapytania trafiają najpierw do większej centrali.

Stąd też pojawiają się obawy, czy nowa metoda połączenia nie pomoże bardziej cyberprzestępcom niż chcącym chronić prywatność użytkownikom. Naukowcy wskazują, że DNS-over-HTTPS wcale nie jest narzędziem pozwalającym skutecznie ukrywać ruch sieciowy i rekomendują pozostanie przy VPN. Czy ich obawy są słuszne? Powinniśmy przekonać się już wkrótce – korzystanie z protokołu umożliwia już Firefox, a od grudnia zastosuje go również Chrome.

fot. Fabio Lanari, Wikipedia

Tagi: internet