Le protocole DNS over HTTPS (DoH) a pour principe de chiffrer les requêtes et les réponses au serveur DNS. Les noms des serveurs distants auxquels l’utilisateur accède à l’aide du DoH sont cachés.
La cause du débat est qu’une partie de la communauté considère que le protocole augmente le niveau de sécurité sur Internet et le met déjà en œuvre dans les applications et les services, mais une autre parle de difficultés supplémentaires dans le travail des administrateurs système.
Pour comprendre l’essence du conflit il faut comprendre le mécanisme du DNS over HTTPS. Si le nom d’hôte et l’adresse sont transmis en clair lors de l’utilisation du DNS classique, le protocole DoH encapsule la demande d’adresse IP dans le trafic HTTPS chiffré. Ensuite, il est transmis au serveur HTTP et est traité à l’aide de commandes API.
Voici un exemple de cette requête de la RFC 8484 (page 4) :
:method = GET
:scheme = https
:authority = dnsserver.example.net
:path = /dns-query?
dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
accept = application/dns-message
Comme vous pouvez le voir dans l’exemple, les requêtes DNS sont anonymes, car elles sont cachées dans le trafic HTTPS.
L’anonymat c’est bon, mais quel est le problème ?
La première raison de l’échec du DNS over HTTPS est la réduction de la sécurité du travail sur Internet. Il sera plus difficile pour l’administrateur système de bloquer les sites malveillants, car leurs noms ne peuvent pas être retirés du trafic HTTPS, et les utilisateurs ordinaires perdront la possibilité de contrôle parental dans les navigateurs de leurs appareils.
La législation britannique, tout comme en Russie, oblige les fournisseurs de services Internet à bloquer les sites interdits. Avec le protocole DoH, il devient presque impossible de filtrer le trafic. Le Centre de communication du gouvernement pour l’Angleterre (GCHQ) et l’Internet Watch Foundation (IWF) s’opposent à la vulgarisation du protocole, leur tâche est de maintenir un registre des ressources bloquées.
Même les systèmes modernes de filtrage du trafic, tels que le Stingray Service Gateway, ne peuvent pas effectuer une analyse complète du trafic HTTPS. Ils utilisent des méthodes de classification par nom de service dans un certificat SSL/TLS (Common Name) ou dans Server Name Indication (SNI), ainsi qu’une analyse de signature de flux de trafic.
Le deuxième problème de l’utilisation de DNS over HTTPS est l’émergence de nouveaux logiciels malveillants qui utilisent les caractéristiques du protocole. Par exemple, en juillet de cette année, les spécialistes de la sécurité de l’information Netlab ont découvert un nouveau virus Godlua utilisant le DoH pour procéder des attaques DDoS. Le programme malveillant du DoH obtient des enregistrements de texte DNS (TXT) et des URL de serveur de gestion.
La menace de la cybersécurité est que les solutions antivirus populaires ne peuvent pas reconnaître les requêtes DoH cryptées. Ensuite, de nouveaux virus apparaîtront et la situation commencera à s’aggraver.
Il y a aussi des avantages
Le nouveau protocole peut également renforcer la cybersécurité, il permet de lutter contre les attaques DNS hijacking, qui sont de plus en plus répandues. La preuve de cela peut être trouvée dans le rapport de la société de sécurité informatique FireEye, et le protocole est également pris en charge par d’autres grandes entreprises informatiques.
Google teste DoH depuis l’année dernière et, plus récemment, la société General Availability a présenté son service DoH. Google estime que la diffusion du DoH améliorera la sécurité des données personnelles et fournira une protection contre les attaques MITM.
À son tour, Mozilla depuis l’été dernier prend en charge le fonctionnement complet de DNS over HTTPS et est engagé dans un support actif pour le protocole. ‘Association des fournisseurs de services Internet Internet Services Providers Association (ISPA) a nommé Mozilla pour le prix « Internet Villain of the Year » ; les représentants des navigateurs ont répondu qu’ils étaient déçus de la tendance des opérateurs de télécommunications à abandonner les mises à niveau de l’infrastructure et à « suivre l’air du temps ». Bien que la nomination a été retirée lorsque les principaux médias et certains fournisseurs ont défendu Mozilla, et British Telecom a déclaré que le nouveau protocole ne ferait qu’augmenter la sécurité des utilisateurs britanniques et n’affecterait pas la qualité du filtrage du contenu.
Les fournisseurs de cloud ne sont pas en reste et Cloudflare propose déjà des services DNS basés sur DNS sur HTTPS.
Le débats ne s’est pas apaisé pendant longtemps, la nouvelle technologie se heurte toujours à l’hostilité et provoque beaucoup de discussions. Et la mise en œuvre généralisée du nouveau protocole peut être parlé dans plus d’une décennie. Une liste de navigateurs et de clients prenant en charge DNS sur HTTPS est désormais disponible sur GitHub.