Служба использует адреса 1.1.1.1 и 1.0.0.1 и имеет в приоритете повышение конфиденциальности.
Компания Cloudflare представила новое бесплатное решение, которое пропускает трафик серверов доменных имен через зашифрованный канал HTTPS. С его помощью специалисты надеются повысить конфиденциальность пользователей, снизить вероятность атак man-in-the-middle и ускорить работу в Интернете.
В воскресенье компания Cloudflare, оператор сети доставки контента (CDN) с акцентом на безопасности, запустила глобальную систему доменных имен (DNS), доступную через протоколы DNS-over-TLS и DNS-over-HTTPS. Сервис называется 1.1.1.1. Это IPv4-адрес DNS-сервера Cloudflare. Помимо него служба использует хост 1.0.0.1.
«Протоколу DNS уже 35 лет, и его возраст бросается в глаза. Его создатели особо не задумывались над конфиденциальностью или безопасностью, — написал в воскресенье Мэтью Принс (Matthew Prince), сооснователь и генеральный директор Cloudflare, в своем блоге. — DNS по своей природе не шифруется, и любое взаимодействие через этот протокол видно всем, кто отслеживает ваше сетевое подключение».
В основе нового сервиса лежит стандарт доверенного рекурсивного преобразователя доменных имен (Trusted Recursive Resolver), реализуемый через протокол DNS-over-HTTPS, или сокращенно DoH.
«Цель нашей общедоступной услуги крайне проста: Cloudflare хочет создать самый быстрый в мире публичный резолвер и повысить планку конфиденциальности пользователей», — написал Олафур Гудмундссон (Olafur Gudmundsson), руководитель инженерного отдела Cloudflare, в отдельной блог-записи, посвященной запуску сервиса 1.1.1.1.
В настоящее время единственным лицом, отслеживающим DNS-запросы браузеров, как правило, является интернет-провайдер, который отвечает за маршрутизацию этих запросов.
DNS-запросы передаются в виде простого текста (по протоколу UDP или TCP) и могут раскрыть сведения о посещаемых сайтах, включая имена, время и частоту посещений. В отдельных случаях, когда работает контентная фильтрация, в журналах DNS могут фиксироваться идентификаторы пользователей или их MAC-адреса. А благодаря отмене нормативов в области приватности теперь интернет-провайдеры могут передавать третьим сторонам сведения об активности своих клиентов в Сети.
При этом, по данным защитников конфиденциальности, правительства не гнушаются использовать шпионские утилиты DNS наподобие Morecowbell и QuantumDNS (PDF) для скрытой слежки за интересующими их лицами.
Кроме того, беззащитностью этого протокола зачастую пользуются авторы атак man-in-the-middle (MiTM), применяя уловки с подменой DNS, перехватом DNS или отравлением кэша DNS. С их помощью злоумышленники заставляют серверы перенаправлять запросы веб-страниц и возвращать в ответ адреса поддельных сайтов (или файлов), которые выглядят как настоящие.
Именно поэтому служба доменных имен считается одним из самых «дырявых участков трубопровода» Интернета. Ведущие IT-компании периодически пытаются повысить безопасность протокола DNS разными средствами.
Если передавать трафик через зашифрованный канал HTTPS, интернет-провайдеры (или администраторы точки доступа Wi-Fi в отеле или кафе) не смогут просматривать запросы пользователей, а злоумышленникам станет сложнее перехватывать их или подменять.
Помимо безопасности, этот способ может повысить эффективность и надежность работы в сети. Как утверждают в Cloudflare, разрешение имен DNS через HTTPS-запросы происходит быстрее и может сэкономить до 15 мс на получении ответа от сервера с адресом веб-страницы. При этом, по словам Принса, процесс только ускоряется, если в роли хостера авторитетного DNS выступает его компания.
Cloudflare не первая задумалась о подобной защите DNS: например, компания Google запустила схожий сервис в ноябре 2017 года. А в прошлом месяце Mozilla Foundation пообещала, что скоро начнется тестирование DoH с использованием версии браузера Firefox для разработчиков. Эти испытания никак не связаны со службой 1.1.1.1 компании Cloudflare, хотя последняя тоже принимает в них участие.
Эксперименты по внедрению DoH Mozilla начала еще в конце 2016 года. А в июле 2017-го в Праге встретились участники Инженерного совета Интернета (IETF), чтобы запустить процесс стандартизации нового протокола. В апреле рабочая группа должна передать существующий черновой вариант DNS-over-HTTPS (draft-04) команде IESG, которая отвечает за принятие всех стандартов IETF. Она рассмотрит его в течение 4-8 недель и либо утвердит его, либо потребует внести правки.
Несмотря на то что многие рады появлению возможности передачи трафика DNS через зашифрованный протокол HTTPS, некоторые эксперты уверены, что введение DoH — это обмен шила на мыло. Если запросы будут проходить через систему CDN наподобие Cloudflare, она сменит интернет-провайдеров в роли центрального репозитория DNS-запросов, подверженного взлому и утечке идентификационных данных.
В интервью с Threatpost за прошлый месяц Принс заявил следующее: «Мы обязуемся не хранить журналы DNS нашего сервиса дольше 24 часов. Мы не будем записывать исходные IP-адреса на диск, а определить пользователя можно только по ним. У нас нет никакого желания становиться центральным хранилищем данных».