DNS over HTTPS

DNS over HTTPS (DoH) הוא פרוטוקול המיועד לביצוע שאילתות DNS מרחוק באמצעות פרוטוקול HTTPS. מטרתו העיקרית היא להגדיל את פרטיות המשתמשים והביטחון על ידי מניעת יירוט ומניפולציה של נתוני ה-DNS באמצעות התקפות "האדם שבאמצע" (man-in-the-middle), באמצעות הצפנת הנתונים בין לקוח DoH לבין שרת ה-DNS באמצעות פרוטוקול HTTPS.[1][2]

במרץ 2018, גוגל וקרן מוזילה החלו לבדוק גרסאות של DoH.[3][4] בפברואר 2020, פיירפוקס העביר את DNS over HTTPS כברירת מחדל עבור משתמשים בארצות הברית.[5] במאי 2020, גוגל כרום עבר לשימוש ב-DNS over HTTPS כברירת מחדל.[6]

פרטים טכניים

[עריכת קוד מקור | עריכה]

DoH הוא תקן מוצע, שפורסם כ-RFC 8484 באוקטובר 2018 על ידי IETF. הפרוטוקול משתמש ב-HTTPS ומעביר את נתוני התשובה בפורמט ה-"wire format" כפי שמוחזר בתשובות UDP קיימות, ב-HTTPS payload עם סוג ה-MIME "application/dns-message".[7] שכבת ה-HTTP יכולה להיות כל גרסה של HTTP, אם כי HTTP/2 הוא המינימום המומלץ.[7] אם משתמשים ב-HTTP/2, השרת יכול גם להשתמש ב-HTTP/2 server push לשלוח ערכים שהוא צופה שהלקוח עשוי למצוא מועילים מראש.[7]

ODoH (Oblivious DNS over HTTPS)

[עריכת קוד מקור | עריכה]

Oblivious DNS over HTTPS (ODoH) הוא Internet Draft שמציע הרחבה לפרוטוקול על מנת להבטיח ששום שרת DoH לא יידע גם את כתובת ה-IP של הלקוח וגם את תוכן השאילתות והתשובות של ה-DNS. ODoH פותח במקור כ-Oblivious DNS (ODNS) על ידי חוקרים באוניברסיטת פרינסטון ובאוניברסיטת שיקגו כהרחבה ל-DNS שאינו מוצפן, לפני ש-DoH עצמו תקנן והופץ באופן נרחב. אפל ו-Cloudflare פרסמו לאחר מכן את הטכנולוגיה בהקשר של DoH כ-Oblivious DoH (ODoH).[8]

ב-ODoH ו-ODNS, כל הבקשות והתשובות של DNS מנותבות דרך פרוקסי, מסתירים את כתובת הלקוח מהפותח. הבקשות והתשובות מוצפנות כדי להסתיר את תוכנן מהפרוקסי, ורק הפותח יכול לפענח את הבקשות, ורק הלקוח יכול לפענח את התשובות. כך, הפרוקסי יודע את כתובת הלקוח אך לא את הבקשה, והפותח יודע את הבקשה אך לא את כתובת הלקוח, מה שמונע קישור של כתובת הלקוח לשאילתה, אלא אם כן שני השרתים משתפים פעולה.[9][10][11][12]

תרחישי פריסה

[עריכת קוד מקור | עריכה]

DoH משמש לפתרון DNS חוזר על ידי פותרי DNS. פותחים (לקוחות DoH) חייבים להיות מחוברים לשרת DoH שמארח נקודת קצה לשאילתה.[13]

שלושה תרחישי שימוש נפוצים:

  • שימוש ביישום DoH בתוך יישום: כמה דפדפנים מכילים יישום DoH מובנה ויכולים לבצע שאילתות על ידי מעקף על פונקציונליות ה-DNS של מערכת ההפעלה. חיסרון הוא שיישום עשוי לא להודיע למשתמש אם הוא מדלג על שאילתת DoH, בין אם בגלל תצורה שגויה או חוסר תמיכה ב-DoH.
  • התקנת פרוקסי DoH בשרת השמות ברשת המקומית: בתרחיש זה מערכות הלקוח ממשיכות להשתמש ב-DNS מסורתי (יציאות 53 או 853) כדי לשאול את שרת השמות ברשת המקומית, אשר יאסוף את התשובות הנחוצות באמצעות DoH על ידי הגעה לשרתים באינטרנט. שיטה זו שקופה למשתמש הקצה.
  • התקנת פרוקסי DoH במערכת מקומית: בתרחיש זה מערכות ההפעלה מוגדרות לשאול פרוקסי DoH הפועל באופן מקומי. בניגוד לשיטה הקודמת, הפרוקסי צריך להיות מותקן על כל מערכת שמעוניינת להשתמש ב-DoH, מה שיכול לדרוש הרבה מאמץ בסביבות גדולות.

תמיכת תוכנה

[עריכת קוד מקור | עריכה]

מערכות הפעלה

[עריכת קוד מקור | עריכה]

אפל

[עריכת קוד מקור | עריכה]

מכשירי iOS 14 ו-macOS 11 של אפל שתצאו בסוף 2020 תומכים בפרוטוקולי DoH ו-DoT.[14][15] ב-iOS, ניתן להשתמש בפרוטוקולים באמצעות פרופילי תצורה.

Windows

[עריכת קוד מקור | עריכה]

בנובמבר 2019, מיקרוסופט הודיעה על תוכניות ליישם תמיכה בפרוטוקולי DNS מוצפנים ב-Windows, החל מ-DoH.[16] במאי 2020, מיקרוסופט הוציאה את Windows 10 Insider Preview Build 19628 שכלל תמיכה ראשונית ב-DoH[17] יחד עם הוראות כיצד להפעיל אותו באמצעות רישום וממשק שורת הפקודה.[18] Windows 10 Insider Preview Build 20185 הוסיף ממשק משתמש גרפי לקביעת תצורה של פותר DoH.[19] תמיכה ב-DoH לא נכללת ב-Windows 10 21H2.[20]

ב-Windows 11 יש תמיכה ב-DoH.[21]

Android

[עריכת קוד מקור | עריכה]

מערכת ההפעלה Android 11 ואילך תומכת ב-DNS באמצעות HTTP/3 (DoH3) אם מותקן עדכון מערכת יולי 2022.[22]

BIND

[עריכת קוד מקור | עריכה]

גרסה 9.17.10 של BIND תומכת ב-DoH באופן טבעי.[23]

PowerDNS

[עריכת קוד מקור | עריכה]

גרסה 1.4.0 של dnsdist תומכת ב-DoH באופן טבעי מאפריל 2019.[24]

Unbound

[עריכת קוד מקור | עריכה]

גרסה 1.12.0 של Unbound תומכת ב-DoH מאוקטובר 2020.[25][26] תחילה יישם תמיכה בהצפנת DNS באמצעות פרוטוקול ה-DoT החל מגרסה 1.4.14, שיצאה בדצמבר 2011.[27][28] Unbound פועל על רוב מערכות ההפעלה, כולל הפצות של לינוקס, BSD, MacOS ו-Windows.

דפדפני אינטרנט

[עריכת קוד מקור | עריכה]

Google Chrome

[עריכת קוד מקור | עריכה]

DNS over HTTPS זמין ב-Google Chrome 83 ואילך עבור Windows, Linux ו-macOS, וניתן לקבוע אותו באמצעות דף ההגדרות. כאשר הוא מופעל, וכאשר מערכת ההפעלה מוגדרת עם שרת DNS נתמך, Chrome ישדרג שאילתות DNS למוצפנות.[29] ניתן גם לציין שרת DoH מותאם אישית דרך ממשק המשתמש.[30]

בספטמבר 2020, גוגל כרום לאנדרואיד החל בפריסה מדורגת של DNS over HTTPS. משתמשים יכולים לקבוע שרת מותאם אישית או להשבית DNS over HTTPS בהגדרות.[31]

ב-Google Chrome יש 5 ספקי DNS over HTTPS מוגדרים מראש שהם Google Public DNS, Cloudflare's 1.1.1.1, Quad9's 9.9.9.9, NextDNS ו-CleanBrowsing.[32]

Microsoft Edge

[עריכת קוד מקור | עריכה]

Microsoft Edge תומך ב-DNS over HTTPS, וניתן לקבוע אותו דרך דף ההגדרות. כאשר הוא מופעל, וכאשר מערכת ההפעלה מוגדרת עם שרת DNS נתמך, Edge ישדרג שאילתות DNS למוצפנות. ניתן גם לציין שרת DoH מותאם אישית דרך ממשק המשתמש.[33]

Mozilla Firefox

[עריכת קוד מקור | עריכה]
דוגמה לשימוש ב-DNS over HTTPS ב-Firefox 89

ב-2018, מוזילה שיתפה פעולה עם Cloudflare כדי לספק DoH עבור משתמשי פיירפוקס שמפעילים אותו (ידוע כ-Trusted Recursive Resolver).[34] ב-25 בפברואר 2020, פיירפוקס החלה להפעיל DNS over HTTPS עבור כל המשתמשים בארצות הברית, כשהיא מסתמכת על שרת Cloudflare כברירת מחדל.[35]

Opera

[עריכת קוד מקור | עריכה]

Opera תומכת ב-DoH, וניתן לקבוע אותו דרך דף ההגדרות של הדפדפן.[36] כברירת מחדל, שאילתות DNS נשלחות לשרתי Cloudflare.[37]

שרתי DNS ציבוריים

[עריכת קוד מקור | עריכה]

ספקי DNS ציבוריים מסוימים מציעים שירותי DoH חינם.

שיקולי יישום

[עריכת קוד מקור | עריכה]

נושאים רבים בנוגע ליישום הנכון של DoH עדיין נפתרים על ידי קהילת האינטרנט, כולל, אך לא מוגבלים ל:

  • עצירת צדדים שלישיים מניתוח תעבורת DNS למטרות אבטחה
  • הפרעה לבקרת הורים ומסנני תוכן ברמת DNS
  • DNS מפוצל ברשתות ארגוניות
  • מיקום CDN

ניתוח תעבורת DNS למטרות אבטחה

[עריכת קוד מקור | עריכה]

DoH יכול להפריע לניתוח ומעקב אחר תעבורת DNS למטרות סייבר; תולעת ה-DDoS Godlua מ-2019 השתמשה ב-DoH כדי להסוות את הקשרים לשרת הפקודות והשליטה שלה.[38][39]

בינואר 2021, NSA הזהירה ארגונים מפני שימוש בפתרונות DoH חיצוניים כי הם מונעים סינון, בדיקה וביקורת של שאילתות DNS. במקום זאת, NSA ממליצה להגדיר פותרי DoH בבעלות הארגון ולחסום את כל הפותרי DoH החיצוניים הידועים.[40]

הפרעה למסנני תוכן

[עריכת קוד מקור | עריכה]

DoH שימש לעקיפת שליטה הורית שפועלת ברמת ה-DNS הבלתי מוצפן; Circle, נתב לשליטה הורית שמשתמש בשאילתות DNS כדי לבדוק דומיינים מול רשימת חסימה, חוסם DoH כברירת מחדל בגלל זה.[41] עם זאת, ישנם ספקי DNS שמציעים סינון ושליטה הורית יחד עם תמיכה ב-DoH על ידי הפעלת שרתי DoH.[42][43]

איגוד ספקי שירותי האינטרנט הבריטי (ISPA) וגוף ה-Internet Watch Foundation הבריטי מתחו ביקורת על Mozilla, מפתח ה-Firefox, על תמיכתו ב-DoH, כיוון שלדעתם זה יפגע בתוכניות סינון האינטרנט במדינה, כולל סינון תוכן למבוגרים וחסימת הפרות זכויות יוצרים בהוראת בית המשפט. ה-ISPA מועמדת למועמדת למועמדת ל"נבל האינטרנט" על ידי Mozilla על תמיכתם ב-DoH, לצד תקנה 13 של זכויות יוצרים של ה-EU, ודונלד טראמפ.[44][45] בתגובה לביקורת, ISPA התנצלה והסירה את המועמדות.[46][47] מוזילה לאחר מכן הצהירה כי DoH לא ישמש כברירת מחדל בשוק הבריטי עד לדיון נוסף עם הגורמים הרלוונטיים, אך הצהירה כי זה "יספק יתרונות אבטחה אמיתיים לאזרחי בריטניה".[48]

קישורים חיצוניים

[עריכת קוד מקור | עריכה]

הערות שוליים

[עריכת קוד מקור | עריכה]
  1. ^ Chirgwin, Richard (14 דצמ' 2017). "IETF protects privacy and helps net neutrality with DNS over HTTPS". The Register (באנגלית). ארכיון מ-14 בדצמבר 2017. נבדק ב-2018-03-21. {{cite news}}: (עזרה)
  2. ^ "DNS over HTTPS · Cloudflare 1.1.1.1 docs". Cloudflare Docs (באנגלית). 2024-01-17. נבדק ב-2024-02-21.
  3. ^ "DNS-over-HTTPS | Public DNS | Google Developers". Google Developers (באנגלית). ארכיון מ-2018-03-20. נבדק ב-2018-03-21.
  4. ^ Cimpanu, Catalin (2018-03-20). "Mozilla Is Testing "DNS over HTTPS" Support in Firefox". BleepingComputer (באנגלית אמריקאית). ארכיון מ-2018-03-20. נבדק ב-2018-03-21.
  5. ^ ""A long-overdue technological shift toward online privacy": Firefox encrypts domain names. Google to follow". What's New in Publishing | Digital Publishing News (באנגלית אמריקאית). 2020-02-26. ארכיון מ-2020-02-26. נבדק ב-2020-02-26.
  6. ^ "Google Makes DNS Over HTTPS Default in Chrome". Decipher (באנגלית). 2020-05-20. נבדק ב-2024-03-29.
  7. ^ 1 2 3 Hoffman, P; McManus, P. "RFC 8484 - DNS Queries over HTTPS". datatracker.ietf.org (באנגלית). ארכיון מ-2018-12-12. נבדק ב-2018-05-20.
  8. ^ "Oblivious DNS Deployed by Cloudflare and Apple". 9 בדצמבר 2020. נבדק ב-27 ביולי 2022. {{cite web}}: (עזרה)
  9. ^ McManus, Patrick; Wood, Christopher; Kinnear, Eric; Pauly, Tommy. "Oblivious DNS Over HTTPS". Ietf Datatracker (באנגלית). נבדק ב-2021-03-17.
  10. ^ Singanamalla, Sudheesh; Chunhapanya, Suphanat; Vavruša, Marek; Verma, Tanya; Wu, Peter; Fayed, Marwan; Heimerl, Kurtis; Sullivan, Nick; Wood, Christopher (2020). "Oblivious DNS over HTTPS (ODoH): A Practical Privacy Enhancement to DNS". arXiv:2011.10121 [cs.CR].
  11. ^ Goodin, Dan (2020-12-08). "Cloudflare, Apple, and others back a new way to make the Internet more private". Ars Technica (באנגלית אמריקאית). נבדק ב-2021-03-14.
  12. ^ "Cloudflare and Apple design a new privacy-friendly internet protocol". TechCrunch (באנגלית אמריקאית). 8 בדצמבר 2020. נבדק ב-2021-03-17. {{cite web}}: (עזרה)
  13. ^ Hoffman, P; McManus, P. "draft-ietf-doh-dns-over-https-08 - DNS Queries over HTTPS". datatracker.ietf.org (באנגלית). ארכיון מ-2018-04-25. נבדק ב-2018-05-20.
  14. ^ June 2020, Anthony Spadafora 29 (29 ביוני 2020). "Apple devices will get encrypted DNS in iOS 14 and macOS 11". TechRadar (באנגלית). ארכיון מ-2020-07-01. נבדק ב-2020-07-01. {{cite web}}: (עזרה)
  15. ^ Cimpanu, Catalin. "Apple adds support for encrypted DNS (DoH and DoT)". ZDNet (באנגלית). ארכיון מ-2020-06-27. נבדק ב-2020-07-02.
  16. ^ Gallagher, Sean (2019-11-19). "Microsoft says yes to future encrypted DNS requests in Windows". Ars Technica (באנגלית אמריקאית). ארכיון מ-2019-11-19. נבדק ב-2019-11-20.
  17. ^ "Announcing Windows 10 Insider Preview Build 19628". 13 במאי 2020. ארכיון מ-18 במאי 2020. נבדק ב-13 במאי 2020. {{cite web}}: (עזרה)
  18. ^ "Windows Insiders can now test DNS over HTTPS". 13 במאי 2020. ארכיון מ-15 במאי 2020. נבדק ב-7 ביולי 2020. {{cite web}}: (עזרה)
  19. ^ Brinkmann, Martin (6 באוגוסט 2020). "Windows 10 build 20185 comes with encrypted DNS settings - gHacks Tech News". gHacks Tech News. ארכיון מ-2020-08-15. נבדק ב-2020-08-06. {{cite web}}: (עזרה)
  20. ^ MandiOhlinger. "What's new in Windows 10, version 21H2 for IT pros - What's new in Windows". docs.microsoft.com (באנגלית אמריקאית). נבדק ב-2022-02-09.
  21. ^ "How to Configure and Use DNS-Over-HTTPS (DoH) in Windows 11". Appuals.com (באנגלית אמריקאית). 2021-07-28. נבדק ב-2021-10-20.
  22. ^ "DNS-over-HTTP/3 in Android". Google Online Security Blog (באנגלית).
  23. ^ Boldariev, Artem (17 בפברואר 2021). "BIND Implements DoH". ISC web site. Internet Systems Consortium. נבדק ב-17 בפברואר 2021. {{cite web}}: (עזרה)
  24. ^ "dnsdist 1.4.0-alpha2 with DNS over HTTPS support". PowerDNS Blog (באנגלית). 2019-04-26. נבדק ב-2021-05-10.
  25. ^ Wijngaards, Wouter (8 באוקטובר 2020). "Unbound 1.12.0 released". NLnet Labs. נבדק ב-24 באוקטובר 2020. {{cite web}}: (עזרה)
  26. ^ Dolmans, Ralph (9 באוקטובר 2020). "DNS-over-HTTPS in Unbound". The NLnet Labs Blog. נבדק ב-24 באוקטובר 2020. {{cite web}}: (עזרה)
  27. ^ Wijngaards, Wouter (19 בדצמבר 2011). "Unbound 1.4.14 release". Unbound-users mailing list. נבדק ב-24 באוקטובר 2020. {{cite web}}: (עזרה)
  28. ^ Wijngaards, Wouter. "dns over ssl support". GitHub. נבדק ב-24 באוקטובר 2020. {{cite web}}: (עזרה)
  29. ^ "DNS over HTTPS (aka DoH)". ארכיון מ-27 במאי 2020. נבדק ב-23 במאי 2020. {{cite web}}: (עזרה)
  30. ^ "Chrome 83: rollout of DNS over HTTPS (Secure DNS) begins". 20 במאי 2020. ארכיון מ-1 ביוני 2020. נבדק ב-20 ביולי 2020. {{cite web}}: (עזרה)
  31. ^ Catalin Cimpanu. "DNS-over-HTTPS (DoH) support added to Chrome on Android". ZDNet (באנגלית). נבדק ב-2021-02-03.
  32. ^ "DNS over HTTPS (aka DoH)". www.chromium.org. נבדק ב-2022-05-05.
  33. ^ "How to enable DNS-over-HTTPS (DoH) in Windows 10". BleepingComputer (באנגלית אמריקאית). נבדק ב-2021-01-23.
  34. ^ Trusted Recursive Resolver
  35. ^ Deckelmann, Selena. "Firefox continues push to bring DNS over HTTPS by default for US users". The Mozilla Blog (באנגלית אמריקאית). ארכיון מ-2020-05-27. נבדק ב-2020-05-28.
  36. ^ "Changelog for 67". 3 בדצמבר 2019. נבדק ב-23 באוגוסט 2020. {{cite web}}: (עזרה)
  37. ^ "Here's how to enable DoH in each browser, ISPs be damned". ZDNet. ארכיון מ-9 ביוני 2020. נבדק ב-28 במאי 2020. {{cite web}}: (עזרה)
  38. ^ Cimpanu, Catalin. "DNS-over-HTTPS causes more problems than it solves, experts say". ZDNet (באנגלית). ארכיון מ-2019-11-08. נבדק ב-2019-11-19.
  39. ^ Cimpanu, Catalin. "First-ever malware strain spotted abusing new DoH (DNS over HTTPS) protocol". ZDNet (באנגלית). ארכיון מ-2019-10-27. נבדק ב-2019-11-19.
  40. ^ Goodin, Dan (2021-01-15). "The NSA warns enterprises to beware of third-party DNS resolvers". Ars Technica (באנגלית אמריקאית). נבדק ב-2021-03-17.
  41. ^ "Managing encrypted DNS connections (DNS over TLS, DNS over HTTPS) with Circle". Circle Support Center (באנגלית אמריקאית). אורכב מ-המקור ב-2020-08-03. נבדק ב-2020-07-07.
  42. ^ Gallagher, Sean (16 בנובמבר 2017). "New Quad9 DNS service blocks malicious domains for everyone". Ars Technica. נבדק ב-14 בנובמבר 2021. The system blocks domains associated with botnets, phishing attacks, and other malicious Internet hosts. {{cite news}}: (עזרה)
  43. ^ "NextDNS". NextDNS (באנגלית). נבדק ב-2023-12-16.
  44. ^ Cimpanu, Catalin. "UK ISP group names Mozilla 'Internet Villain' for supporting 'DNS-over-HTTPS'". ZDNet (באנגלית). ארכיון מ-2019-07-05. נבדק ב-2019-07-05.
  45. ^ "Internet group brands Mozilla 'internet villain' for supporting DNS privacy feature". TechCrunch (באנגלית אמריקאית). 5 ביולי 2019. נבדק ב-2019-07-19. {{cite web}}: (עזרה)
  46. ^ "British ISPs fight to make the web LESS secure". IT PRO (באנגלית). 14 בספטמבר 2019. נבדק ב-2019-09-14. {{cite web}}: (עזרה)
  47. ^ Patrawala, Fatema (2019-07-11). "ISPA nominated Mozilla in the "Internet Villain" category for DNS over HTTPs push, withdrew nominations and category after community backlash". Packt Hub (באנגלית אמריקאית). ארכיון מ-2019-12-04. נבדק ב-2019-09-14.
  48. ^ Hern, Alex (2019-09-24). "Firefox: 'no UK plans' to make encrypted browser tool its default". The Guardian (באנגלית בריטית). ISSN 0261-3077. ארכיון מ-2019-09-28. נבדק ב-2019-09-29.