DNS-gatekeeping: När nycklarna är svårare att få tag på än krypteringen själv

Alla som har köpt ett dyrare lås vet känslan: nyckeln är borta. Samma sak händer just nu för användare som försöker få tag på krypterad DNS.

DoH och DoT skulle lösa problemet med förfalskade DNS-svar. Krypteringen skyddar uppslagningen så att varken ISP eller statliga filter kan se vilka domäner som efterfrågas. Men krypteringen hjälper inte om användaren aldrig når servern som har nycklarna.

När censorskapet flyttar fokus från trafik till nyckelutbyte

Istället för att försöka knäcka krypteringen har brandväggar börjat stoppa själva nyckelutbytet. I början av 2021 märkte användare i Kina att DoH-uppslagningar plötsligt började fungera sämre. Anslutningarna bröts inte helt, men de blockerades tillfälligt för att sedan släppa igen. Efter några upprepningar blev tjänsten oanvändbar i praktiken.

Resultatet blev en trestegslösning hos den stora brandväggen:

• Vanlig DNS: Fortfarande förfalskad med felaktiga IP-adresser.
• DoT på port 853: Helt blockerade på anslutningsnivå.
• DoH på port 443: Trafiken tillåts, men varje förfrågan till kända leverantörer triggar en kort IP-blockering. Tillräckligt många upprepningar räcker för att användarna ska ge upp.

Arkitekturen som skapar problemet

Det underliggande felet är enkelt: krypterade protokoll behöver nycklar från DNS för att fungera. Men för att nå de krypterade DNS-servrarna måste användaren först göra ett vanligt DNS-uppslag. Den som kontrollerar nätverket kan därmed stoppa trafiken redan innan krypteringen aktiveras.

Samma mönster dyker upp när ECH ska användas för att dölja SNI. Innan webbläsaren kan kryptera Server Name Indication måste den hämta publika nycklar via DNS. Cirkeln sluter sig.

Vad det betyder för dig som hanterar domäner och hosting

Tre vanliga antaganden håller inte längre:

• Dina DNS-poster är alltid nåbara. I vissa länder kan de vara helt oåtkomliga.
• Krypterade protokoll löser synlighetsproblemet. De skyddar själva trafiken, men inte nyckelutbytet.
• Effektiv censur kräver att trafiken bryts. Ofta räcker det med upprepade avbrott som gör tjänsten oanvändbar i praktiken.

Vägar framåt

Flera tekniker diskuteras för att minska beroendet av centrala DNS-servrar:

• Decentraliserad nyckelhantering via DNSSEC eller blockchain-baserade lösningar.
• Obfuskering som får DoH-trafik att likna vanlig HTTPS.
• Anycast-nätverk som sprider servrarna geografiskt och gör det svårare att blockera enskilda endpoints.
• Applikationsnivå-lösningar där nycklar bäddas in direkt i mjukvaran istället för att hämtas via DNS.

Ingen metod är perfekt. Samtliga innebär avvägningar mellan prestanda, användarvänlighet och komplexitet.

Slutsats

Privacy-lösningar fungerar bara så länge de faktiskt går att nå. När du bygger domän- eller hosting-infrastruktur måste du fråga dig: Vad händer om någon med nätverkskontroll vill förhindra åtkomst till just dina tjänster? Och hur hanterar du det?

DNS-gatekeeping är inte löst. Lösningarna kommer troligen bli mer spridda, krångligare och kräva större medvetenhet från både utvecklare och användare. Det är priset för att bygga i en värld där nätverksåtkomst är politiskt laddad.