Защо шифрованият DNS все още се сблъсква с прегради

Представете си, че имате здрава ключалка, но ключът до нея е скрит зад врата, която някой друг контролира. Точно това се случва с милиони потребители, които разчитат на защитени DNS протоколи.

DNS-over-HTTPS и DNS-over-TLS бяха създадени, за да скрият заявките за домейни от доставчици и цензура. Идеята е добра – шифроването трябва да пречи на външни лица да виждат кои сайтове отваряте.

Когато цензурата спира да чупи шифроването и започва да блокира достъпа до ключовете

Вместо да атакуват самото шифроване, някои мрежи просто пречат на потребителите да стигнат до сървърите, които го предоставят. През 2021 г. разработчици в Китай забелязаха необичайно поведение: запитванията към криптирани DNS услуги ту работеха, ту спираха за няколко минути, без видима причина.

Анализът показа, че Great Firewall прилага различни стратегии в зависимост от протокола:

• Обикновен DNS – все още се подменят IP адресите с фалшиви.
• DNS-over-TLS (порт 853) – връзката се прекъсва напълно.
• DNS-over-HTTPS (порт 443) – цензурата не блокира сървъра постоянно, а само за кратко време след всяка заявка. Резултатът е, че услугата става практически неизползваема.

Архитектурният проблем, който остава скрит

Шифроването на DNS не е достатъчно, ако потребителят не може да получи публичните ключове, необходими за установяване на връзката. Нови протоколи като Encrypted Client Hello (ECH) разчитат на DNS, за да разпространяват тези ключове. Ако DNS заявката може да бъде прихваната преди да се шифрова, целият механизъм се проваля.

Това създава парадокс: за да използвате шифрован DNS, трябва първо да направите DNS заявка, но тя може да бъде блокирана или забавена.

Какво означава това за уеб разработчиците

Ако управлявате домейни или инфраструктура, която се използва глобално, трябва да имате предвид няколко важни неща:

• DNS записите ви може да не са достъпни във всички региони.
• Шифроването на транспортния слой не решава проблема с разпространението на ключовете.
• Съвременната цензура често разчита на бавене и периодично блокиране, а не на пълно прекъсване.

Какви решения се обсъждат

За да се заобиколят тези ограничения, се тестват различни подходи:

• Децентрализирано разпространение на ключове – чрез DNSSEC или блокчейн базирани системи.
• Обфускация – маскиране на DNS трафика като обикновен HTTPS.
• Anycast мрежи – разпределяне на сървърите географски, за да е по-трудно да се блокират.
• Вградени решения – ключовете се разпространяват директно от приложението, вместо да се разчита на DNS.

Нито едно от тези решения не е универсално. Всяко носи компромиси по отношение на скорост, удобство и сложност.

Основният извод

Защитата на поверителността не работи изолирано. Тя зависи от реалната мрежова инфраструктура и от това какви инструменти има противникът. Когато проектирате DNS инфраструктура, API или потребителски услуги, трябва да предвидите как някой с контрол върху мрежата би могъл да ограничи достъпа и как ще реагирате на това.

DNS gatekeeping проблемът все още няма просто решение. Бъдещите подходи вероятно ще бъдат по-сложни, по-разпределени и ще изискват повече внимание от страна на потребителите.