DNS peste TLS

DNS peste TLS ( DoT ) este un protocol de securitate pentru criptarea și încapsularea interogărilor și a răspunsurilor prin intermediul sistemului de nume de domeniu (DNS ) prin protocolul Transport Layer Security (TLS ) . Scopul metodei este de a spori confidențialitatea și securitatea utilizatorilor prin prevenirea ascultării și a manipulării datelor DNS prin atacuri om-în-mijloc .

În 2020, Cloudflare , Quad9 , Google , Quadrant Information Security, CleanBrowsing , LibreOps, DNSlify Telsy  (EA) , AdGuard și Digitalcourage a oferit un DNS publice cu DNS peste tehnologia TLS.

În aprilie 2018, Google a anunțat că Android Pie va sprijini această tehnologie, permițând utilizatorilor să se conecteze la un server DNS atât prin Wi-Fi, cât și prin conexiune celulară, o opțiune care era posibilă până acum doar pentru utilizatorii care și-au înrădăcinat telefonul. DNSDist, de la PowerDNS , a anunțat, de asemenea, suport pentru tehnologie în versiunea 1.3.0. Utilizatorii BIND pot utiliza, de asemenea, DoT folosind un proxy cu stunnel . Unbound susține DoT din 22 ianuarie 2018. Unwind susține DoT din 29 ianuarie 2019. Cu suport tehnologic de la Android Pie și versiuni superioare, blocanții publicitari acceptă și utilizarea acestui protocol criptat.

Implementări

Multe servere recursive publice acceptă DoT, dar sistemele client sunt deseori obligate să se înregistreze.

Clienții Android care rulează Android 9 (Pie) sau mai noi acceptă DNS prin TLS.

Utilizatorii Linux și Windows pot utiliza DNS ca client TLS prin demonul Stubby NLnet Labs Labs sau Knot Resolver. De asemenea, pot instala getdns-utils pentru a utiliza DoT direct cu instrumentul getdns_query. NLnet Labs Unbound DNS Resolver acceptă, de asemenea, DNS peste TLS.

IOS 14 Apple a introdus suport pentru DoT (și DNS prin HTTPS) la nivelul sistemului de operare. iOS nu permite configurarea manuală a serverelor DoT și necesită utilizarea unei aplicații terțe pentru a face modificări de configurare.

Systemd-solving este o implementare exclusiv Linux, care poate fi configurată pentru a utiliza DNS prin TLS, editând /etc/systemd/resolved.confși activând setarea DNSOverTLS. Majoritatea distribuțiilor Linux majore au systemd instalat în mod implicit.

PersonalDNSfilter este un filtru DNS open source care acceptă DoT și DoH ( DNS peste HTTPS ) pentru dispozitivele cu Java, inclusiv Android.

Nebulo este o aplicație Open Source pentru modificarea configurației DNS pentru Android și acceptă DoT și DoH.

Critici și considerații de implementare

DoT poate împiedica analiza și monitorizarea traficului DNS în scopuri de securitate cibernetică. DoT a fost folosit pentru a ocoli controalele parentale care funcționează la nivelul DNS standard (necriptat); Circle, un router de control parental care se bazează pe interogări DNS pentru a verifica domeniile cu o listă de blocuri, blochează DoT în mod implicit din acest motiv. Cu toate acestea, există furnizori DNS care oferă filtrare și control parental, precum și suport pentru DoT și DoH. În acest scenariu, interogările DNS sunt comparate cu listele de blocuri după ce sunt primite de furnizor, mai degrabă decât înainte de a părăsi routerul utilizatorului.

Criptarea de la sine nu protejează confidențialitatea, criptarea este pur și simplu o metodă de ascundere a datelor.

Clienții DoT nu interogă direct niciun server de nume autorizat. În schimb, clientul se bazează pe serverul DoT folosind interogări tradiționale (portul 53 sau 853) pentru a ajunge în cele din urmă la serverele autorizate. Astfel, DoT nu se califică ca protocol criptat end-to-end , doar criptat hop-to-hop și numai dacă DNS prin TLS este utilizat în mod consecvent.

Articole similare

Referințe

  1. "  Rezolvator DNS public | DNSlify - DNSlify | Anycast DNS for All  ” , www.dnslify.com (accesat la 26 mai 2020 ) .
  2. (en-US) „  Telsy TRT  ” (accesat la 26 mai 2020 ) .
  3. (ro-SUA) „  Cum să țineți nasul ISP-ului departe de istoricul browserului dvs. cu DNS criptat  ” , Ars Technica (accesat la 8 aprilie 2018 ) .
  4. (în) „  DNS over TLS - Cloudflare Resolver  ” , developers.cloudflare.com (accesat la 8 aprilie 2018 ) .
  5. (în) „  DNS DNS public Google acceptă acum peste TLS  ” , Google Online Security Blog (accesat la 10 ianuarie 2019 ) .
  6. „  Quad9, a Public DNS Resolver - with Security  ” , RIPE Labs (accesat la 8 aprilie 2018 ) .
  7. (în) „  LibreDNS  ” , LibreDNS (accesat la 20 octombrie 2019 ) .
  8. „  DNS-over-TLS  ” , dnsdist.org (accesat la 25 aprilie 2018 ) .
  9. „  Bind - DNS peste TLS  ” .
  10. „  Unbound version 1.7.3 Changelog  ” .
  11. (în) „  De fapt, securizați DNS peste TLS în Unbound  ” , Ctrl Blog (accesat la 7 august 2018 ) .
  12. „  arhive openbsd-cvs listă de corespondență  ” .
  13. „  arhive openbsd-cvs listă de corespondență  ” .
  14. „  blockerDNS - Blocați anunțurile și trackerele online, astfel încât să puteți naviga pe internet în mod privat pe telefonul dvs. Android fără a instala o aplicație!  " , Blockerdns.com (accesat la 14 august 2019 ) .
  15. (în) „  Lansarea oficială a AdGuard DNS - o nouă abordare unică a DNS orientat spre confidențialitate  ” , Blogul AdGuard (accesat la 14 august 2019 ) .
  16. „  Blahdns - Serviciu de asistență Dns DoH, DoT, DNSCrypt  ” , blahdns.com (accesat la 14 august 2019 ) .
  17. (în) „  Suport DNS peste TLS în Android Developer Preview P  ” , Blog pentru dezvoltatori Android (accesat la 7 decembrie 2019 ) .
  18. „  Knot Resolver  ” .
  19. (în) Pachet: getdns-utils ( citiți online ).
  20. (în) „  Neconsolidat - Despre  ” pe NLnet Labs (accesat la 26 mai 2020 ) .
  21. (în) Cimpanu, „  Apple adaugă asistență DNS pentru criptat (DoH și DoT)  ” , ZDNet (accesat la 3 octombrie 2020 ) .
  22. „  pagină manuală resolver.conf  ” (accesată la 16 decembrie 2019 ) .
  23. „  Fedora Magazine: Use DNS over TLS  ” (accesat pe 4 septembrie 2020 ) .
  24. „  personalDNSfilter - un filtru personal de sursă deschisă pentru oprirea anunțurilor și multe altele  ” , zenz-solutions.de (accesat la 26 mai 2020 ) .
  25. (în) „  Nebulo - DNS Changer DNS for over HTTPS / TLS - Apps on Google Play  ” , play.google.com (accesat la 26 mai 2020 ) .
  26. (ro-SUA) „  Gestionarea conexiunilor DNS criptate (DNS prin TLS, DNS prin HTTPS) cu Circle  ” , Centrul de asistență Circle (accesat la 7 iulie 2020 ) .
  27. (in) Inc. „  Control parental cu asistență DNS peste TLS  ” , CleanBrowsing (accesat la 20 august 2020 ) .
  28. (in) Inc. „  Control parental cu asistență DNS peste HTTPS (DoH)  ” , CleanBrowsing (accesat la 20 august 2020 ) .
  29. (in) blockerDNS, „  blockerDNS - Produse  ” , blockerdns.com (accesat la 20 august 2020 ) .
  30. (în) „  Protejați-vă confidențialitatea cu DNS-over-TLS este SafeDNS  ” , SafeDNS (accesat la 20 august 2020 ) .

linkuri externe