Tags:
Node Thumbnail

มาตรฐาน DNS over HTTPS (DoH) ได้รับบรรจุเป็นเอกสาร rfc8484 แล้วเมื่อสัปดาห์ที่ผ่านมา หลังจากเริ่มมีการเสนอมาตรฐานเมื่อเดือนพฤษภาคม 2017 หรือเพียงปีกว่าเท่านั้น

DoH เป็นมาตรฐานตัวที่สองของ IETF ที่เป็นโปรโตคอลการเข้ารหัสการคิวรี DNS โดยมาตรฐานตัวแรกคือ rfc7858 DNS over TLS (DoT) แต่ DoT นั้นมีพอร์ตมาตรฐานเป็นพอร์ต 853 เปิดทางให้ผู้ดูแลระบบสามารถบล็อคการใช้งาน และโหมดการใช้งานเองก็มีโหมด "รักษาความเป็นส่วนตัวตามโอกาสอำนวย" (opportunistic privacy) แม้จะเข้ารหัสการเชื่อมต่อแต่ก็ไม่มีการยืนยันตัวตนเซิร์ฟเวอร์ เปิดทางให้ผู้ให้บริการอินเทอร์เน็ตดักการเชื่อมต่อได้อยู่ดี ขณะที่การล็อกเซิร์ฟเวอร์เพื่อความปลอดภัยสูงต้องอาศัยการส่งกุญแจจากช่องทางอื่น (out-of-band)

ส่วน DoH อาศัยโครงสร้าง HTTPS ที่มีการยืนยันตัวตนเซิร์ฟเวอร์เต็มรูปแบบ แต่มีการปรับแต่งเล็กน้อยเพื่อไม่ให้ต้องใช้ DNS ระหว่างการยืนยันตัวตน เช่นการตรวจรายการยกเลิกใบรับรองที่ปกติต้องเข้าเว็บ ทำให้ต้องคิวรี DNS มาตรฐานจะแนะนำให้เลี่ยงกรณีเช่นนี้ทั้งหมดและแนบสถานะใบรับรองไปกับการเชื่อมต่อโดยตรง อีกทั้งตัวพอร์ตมาตรฐานของ DoH ก็เป็นพอร์ต 443 ทำให้แยกจากทราฟิกเว็บทั่วไปได้ยาก

Paul Vixie ผู้ร่วมออกแบบสถาปัตยกรรม DNS แสดงความไม่พอใจมาตรฐานนี้เพราะเป็นการนำข้อมูลชั้นควบคุม (control plane) ไปวิ่งอยู่บนชั้นข้อมูล (data plane) และหลายครั้งผู้ดูแลระบบในองค์กรก็มีเหตุผลที่ดีที่จะมอนิเตอร์การคิวรี DNS

มาตรฐาน DoH เมื่อใช้คู่กับมาตรฐาน ESNI ที่เข้ารหัสหัว TLS ในการเชื่อมต่อก็จะปิดทางมอนิเตอร์การเชื่อมต่อแทบทั้งหมด เหลือเพียงหมายเลขไอพีที่จำเป็นกับการส่งต่อข้อมูลเท่านั้น โดยตอนนี้มาตรฐาน ESNI ก็เพิ่งปรับปรุงร่างใหม่เมื่อวันจันทร์ที่ผ่านมา

ที่มา - The Register

No Description

Get latest news from Blognone

Comments

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 23 October 2018 - 22:25 #1077873

ขั้นต่อไปของ The Great Firewall of China อาจถึงขั้นบังคับให้ Browser ที่ใช้ในจีนต้องมีการส่งข้อมูลกลับก็เป็นไปได้สูงมากๆ

By: hisoft
ContributorWindows PhoneWindows
on 23 October 2018 - 22:45 #1077876
hisoft's picture

Paul Vixie ผู้ร่วมออกแบบสถาปัตยกรรม DNS แสดงความไม่พอใจมาตรฐานนี้เพราะเป็นการนำข้อมูลชั้นควบคุม (control plane) ไปวิ่งอยู่บนชั้นข้อมูล (data plane) และหลายครั้งผู้ดูแลระบบในองค์กรก็มีเหตุผลที่ดีที่จะมอนิเตอร์การคิวรี DNS

ยังไม่เข้าใจครับ รบกวนใครช่วยอธิบายลึกอีกนิด

By: put4558350
ContributorAndroidUbuntuWindows
on 24 October 2018 - 02:29 #1077897 Reply to:1077876
put4558350's picture

ทั้วไป ports จะไช้แยกชนิดของข้อมูลครับ อย่างข้อมูลไม่เข้ารหัส (80/8080) e-mail pop 3 (110) และข้อมูลเข้ารหัส (443)

การเลือกให้ DNS over HTTPS ไช้ port 443 แบบเดียวกับข้อมูลเข้ารหัสทำให้ ข้อมูลเข้ารหัส กับ DNS อยู่ในช่องเดียวกัน ทำให้แยกเฉพาะข้อมูล DNS (เพื่อไปแกะอ่านว่าต่อไปที่ใหน) ทำได้ยากขึ้น

Paul Vixie สนับสนุนการไช้ port แยกเบอร์ 853 มากกว่า port 443 เบอร์เดียวกับข้อมูลเข้ารหัส โดยบอกว่าเป็นการนำข้อมูลชั้นควบคุมไปวิ่งอยู่บนชั้นข้อมูล และ การแอบดูบางครั้งก็มีเหตุผลที่ดี


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: hisoft
ContributorWindows PhoneWindows
on 24 October 2018 - 02:45 #1077900 Reply to:1077897
hisoft's picture

ขอบคุณมากครับ พออ่านความเห็นนี้แล้วก็อ่านข้างบนได้ถูกแล้ว ?

By: Configuleto
AndroidWindows
on 24 October 2018 - 00:53 #1077891
Configuleto's picture

ออกทำนอง ดูท่าจะไม่มีใครทำให้ ทำเองก็ได้ ... สินะ

Whichever approach prevails, as Mozilla's Daniel Steinberg wrote at the end of last week, the main reason the controversy exists is that the DNS world has failed for decades to act to preserve user privacy.

"To me, DoH is partly necessary because the 'DNS world' has failed to ship and deploy secure and safe name lookups to the masses and this is the one way applications 'one layer up' can still secure our users."

That echoes what DNS privacy expert Sara Dickinson (author of DoT test platform Stubby) said in a July interview with the Council of European National Top-Level Domain Registries. The industry, she said, brought DoH on itself by being slow to react. "The browsers are just walking straight in, because if they were already getting what they needed from DNS, they might be less eager to go down the DoH route. However, they are just not getting what they need, and I think they kind of feel they never will."

(ข้อความส่วนหนึ่งในที่มา)

By: lew
FounderJusci's WriterMEconomicsAndroid
on 24 October 2018 - 01:46 #1077895 Reply to:1077891
lew's picture

ผมมองว่าความคิดต่างกันครับ ฝั่ง DoT มาจาก ISP ก็จะมองว่าการเปิดทางให้ monitor จำเป็นอยู่ ฝั่งเบราว์เซอร์นี่ไม่ยอมเลย

คงไม่ใช่แค่เรื่องทำช้าหรือไม่ทำ แต่จุดมุ่งหมายต่างกันมาก


lewcpe.com, @wasonliw

By: ipats
ContributorNOOBIn Love
on 24 October 2018 - 12:53 #1077985 Reply to:1077895

ตัวอย่างเหตุผลที่เค้ายกมกคือ ในองค์กรที่พนักงานเอาเครื่องมาใช้เอง บายพาสทุกอย่างได้หมด ฝั่ง security ก็จบเลย ก็พอจะเข้าใจเหตุผลอยู่นะ

https://twitter.com/paulvixie/status/1054944486550372354


iPAtS

By: put4558350
ContributorAndroidUbuntuWindows
on 24 October 2018 - 14:32 #1078014 Reply to:1077985
put4558350's picture

... ผมสงสัยจังเลย ถ้าผมเอา usb drive สองหัวไปเสียบเครื่องที่ทำงานกอปไฟล แล้วจากนั้นก็เอาอีกด้านเสียบเข้ากับมือถือ sync ไป mega ด้วยเน็ตมือถือ จะมีใครตามผมจากเครือข่ายในองค์กรได้

ข้อมูลสำคัญ ต้อง ทำ air gap (ไม่ต่อเน็ต) ปิดช่องทางดึงข้อมูลออกทีละมากๆ (ปิดพวก usb port) ให้พนักงานแต่ละคนเข้าถึงข้อมูลใด้แค่บางส่วน แล้วก็เลือกพนักงานด้วย

การเหลือเทคนิกควบคุมในองค์กรเอาไว้ในเครือข่ายสาธารณะ ก็เหมือนการจงใจทำให้เครือข่ายสาธารณะควบคุมใด้เหมือนในองค์กร ไม่ รัฐบาล ก็ isp จะสามารถหาทางเอาไปไช้ประโยชน์ใด้ ซึ่งมักจะมีข้อเสียมากกว่าข้อดี ไม่ต่างกับการพยายามทำ backdoor ที่คนฝังหาประโยชน์จากมัน หลังจากนั้นสักพัก คนไม่ดีก็จะรู้แล้วก็จะนำไปไช้ คนฝังทำเฉยๆ ส่วนผู้ไช้ก็ต้องหาทางป้องกันเอาเอง


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: lew
FounderJusci's WriterMEconomicsAndroid
on 25 October 2018 - 00:41 #1078153 Reply to:1077985
lew's picture

ถ้า BYOD ปกติบริษัทต้องมีข้อบังคับนะ (อาจจะบังคับไปถึงลงโปรแกรมเลย อย่างต่ำๆ พวกตรวจโปรแกรมลิขสิทธิ์นี่ก็ต้องทำ) พวกนี้จะเข้าโครงการได้บริษัทต้องจ่ายเงิน (รายเดือน รายครั้ง ฯลฯ ว่าไป) ส่วนเครื่องบริษัทเองก็ลงได้เองอยู่แล้ว

แต่ถ้าเน้นตามสะดวก ใครเอามาใช้กันเองก็ได้ อันนั้นก็คิดว่าไม่น่ากังวลมาก อิสระขนาดนั้นจะมากังวลว่าตรวจว่าพนักงานเข้าเว็บอะไรบ้างทำไม


lewcpe.com, @wasonliw

By: McKay
ContributorAndroidWindowsIn Love
on 20 November 2018 - 22:48 #1083003
McKay's picture

มาขุดว่า dnscrypt-proxy 2 ตัวเต็มออกแล้ว รองรับ DoH/2 (แต่ใช้ Go)

ปล. ใช้ dnsmasq+Stubby ต่อไป..


Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)