DNS over HTTPS ออกตัวจริงแล้ว ได้เลข rfc8484

By lew

on 23 October 2018 - 21:00 Tag: IETF, DNS, Internet

IETF

มาตรฐาน DNS over HTTPS (DoH) ได้รับบรรจุเป็นเอกสาร rfc8484 แล้วเมื่อสัปดาห์ที่ผ่านมา หลังจากเริ่มมีการเสนอมาตรฐานเมื่อเดือนพฤษภาคม 2017 หรือเพียงปีกว่าเท่านั้น

DoH เป็นมาตรฐานตัวที่สองของ IETF ที่เป็นโปรโตคอลการเข้ารหัสการคิวรี DNS โดยมาตรฐานตัวแรกคือ rfc7858 DNS over TLS (DoT) แต่ DoT นั้นมีพอร์ตมาตรฐานเป็นพอร์ต 853 เปิดทางให้ผู้ดูแลระบบสามารถบล็อคการใช้งาน และโหมดการใช้งานเองก็มีโหมด "รักษาความเป็นส่วนตัวตามโอกาสอำนวย" (opportunistic privacy) แม้จะเข้ารหัสการเชื่อมต่อแต่ก็ไม่มีการยืนยันตัวตนเซิร์ฟเวอร์ เปิดทางให้ผู้ให้บริการอินเทอร์เน็ตดักการเชื่อมต่อได้อยู่ดี ขณะที่การล็อกเซิร์ฟเวอร์เพื่อความปลอดภัยสูงต้องอาศัยการส่งกุญแจจากช่องทางอื่น (out-of-band)

ส่วน DoH อาศัยโครงสร้าง HTTPS ที่มีการยืนยันตัวตนเซิร์ฟเวอร์เต็มรูปแบบ แต่มีการปรับแต่งเล็กน้อยเพื่อไม่ให้ต้องใช้ DNS ระหว่างการยืนยันตัวตน เช่นการตรวจรายการยกเลิกใบรับรองที่ปกติต้องเข้าเว็บ ทำให้ต้องคิวรี DNS มาตรฐานจะแนะนำให้เลี่ยงกรณีเช่นนี้ทั้งหมดและแนบสถานะใบรับรองไปกับการเชื่อมต่อโดยตรง อีกทั้งตัวพอร์ตมาตรฐานของ DoH ก็เป็นพอร์ต 443 ทำให้แยกจากทราฟิกเว็บทั่วไปได้ยาก

Paul Vixie ผู้ร่วมออกแบบสถาปัตยกรรม DNS แสดงความไม่พอใจมาตรฐานนี้เพราะเป็นการนำข้อมูลชั้นควบคุม (control plane) ไปวิ่งอยู่บนชั้นข้อมูล (data plane) และหลายครั้งผู้ดูแลระบบในองค์กรก็มีเหตุผลที่ดีที่จะมอนิเตอร์การคิวรี DNS

มาตรฐาน DoH เมื่อใช้คู่กับมาตรฐาน ESNI ที่เข้ารหัสหัว TLS ในการเชื่อมต่อก็จะปิดทางมอนิเตอร์การเชื่อมต่อแทบทั้งหมด เหลือเพียงหมายเลขไอพีที่จำเป็นกับการส่งต่อข้อมูลเท่านั้น โดยตอนนี้มาตรฐาน ESNI ก็เพิ่งปรับปรุงร่างใหม่เมื่อวันจันทร์ที่ผ่านมา

ที่มา - The Register

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Next Innovation (Thailand) Co., Ltd.

We are web design with consulting & engineering services driven the future stronger and flexibility.

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Kiatnakin Phatra Financial Group

Financial Service

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Nipa Cloud

#1 OpenStack cloud provider in Thailand with our own data center and software platform.

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

MuvMi (Urban Mobility Tech Co.,Ltd.)

Shape the future of urban mobility towards affordable, clean, and safe solutions

T.N. Digital Solution Co., Ltd.

TNDS has been involving in every first move of banking’s major digital transformation.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

LTMH

LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย

Seven Peaks

We Drive Digital Transformation

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

ขั้นต่อไปของ The Great

Hadakung Tue, 23/10/2018 - 22:25

ขั้นต่อไปของ The Great Firewall of China อาจถึงขั้นบังคับให้ Browser ที่ใช้ในจีนต้องมีการส่งข้อมูลกลับก็เป็นไปได้สูงมากๆ

Paul Vixie

hisoft Tue, 23/10/2018 - 22:45

Paul Vixie ผู้ร่วมออกแบบสถาปัตยกรรม DNS แสดงความไม่พอใจมาตรฐานนี้เพราะเป็นการนำข้อมูลชั้นควบคุม (control plane) ไปวิ่งอยู่บนชั้นข้อมูล (data plane) และหลายครั้งผู้ดูแลระบบในองค์กรก็มีเหตุผลที่ดีที่จะมอนิเตอร์การคิวรี DNS

ยังไม่เข้าใจครับ รบกวนใครช่วยอธิบายลึกอีกนิด

ทั้วไป ports

put4558350 Wed, 24/10/2018 - 02:29

ทั้วไป ports จะไช้แยกชนิดของข้อมูลครับ อย่างข้อมูลไม่เข้ารหัส (80/8080) e-mail pop 3 (110) และข้อมูลเข้ารหัส (443)

การเลือกให้ DNS over HTTPS ไช้ port 443 แบบเดียวกับข้อมูลเข้ารหัสทำให้ ข้อมูลเข้ารหัส กับ DNS อยู่ในช่องเดียวกัน ทำให้แยกเฉพาะข้อมูล DNS (เพื่อไปแกะอ่านว่าต่อไปที่ใหน) ทำได้ยากขึ้น

Paul Vixie สนับสนุนการไช้ port แยกเบอร์ 853 มากกว่า port 443 เบอร์เดียวกับข้อมูลเข้ารหัส โดยบอกว่าเป็นการนำข้อมูลชั้นควบคุมไปวิ่งอยู่บนชั้นข้อมูล และ การแอบดูบางครั้งก็มีเหตุผลที่ดี

ขอบคุณมากครับ

hisoft Wed, 24/10/2018 - 02:45

ขอบคุณมากครับ พออ่านความเห็นนี้แล้วก็อ่านข้างบนได้ถูกแล้ว ?

อูย~

Configuleto Wed, 24/10/2018 - 00:53

ออกทำนอง ดูท่าจะไม่มีใครทำให้ ทำเองก็ได้ ... สินะ

Whichever approach prevails, as Mozilla's Daniel Steinberg wrote at the end of last week, the main reason the controversy exists is that the DNS world has failed for decades to act to preserve user privacy.

"To me, DoH is partly necessary because the 'DNS world' has failed to ship and deploy secure and safe name lookups to the masses and this is the one way applications 'one layer up' can still secure our users."

That echoes what DNS privacy expert Sara Dickinson (author of DoT test platform Stubby) said in a July interview with the Council of European National Top-Level Domain Registries. The industry, she said, brought DoH on itself by being slow to react. "The browsers are just walking straight in, because if they were already getting what they needed from DNS, they might be less eager to go down the DoH route. However, they are just not getting what they need, and I think they kind of feel they never will."

(ข้อความส่วนหนึ่งในที่มา)

ผมมองว่าความคิดต่างกันครับ

lew Wed, 24/10/2018 - 01:46

ผมมองว่าความคิดต่างกันครับ ฝั่ง DoT มาจาก ISP ก็จะมองว่าการเปิดทางให้ monitor จำเป็นอยู่ ฝั่งเบราว์เซอร์นี่ไม่ยอมเลย

คงไม่ใช่แค่เรื่องทำช้าหรือไม่ทำ แต่จุดมุ่งหมายต่างกันมาก

ตัวอย่างเหตุผลที่เค้ายกมกคือ

ipats Wed, 24/10/2018 - 12:53

ตัวอย่างเหตุผลที่เค้ายกมกคือ ในองค์กรที่พนักงานเอาเครื่องมาใช้เอง บายพาสทุกอย่างได้หมด ฝั่ง security ก็จบเลย ก็พอจะเข้าใจเหตุผลอยู่นะ

https://twitter.com/paulvixie/status/1054944486550372354

... ผมสงสัยจังเลย ถ้าผมเอา

put4558350 Wed, 24/10/2018 - 14:32

... ผมสงสัยจังเลย ถ้าผมเอา usb drive สองหัวไปเสียบเครื่องที่ทำงานกอปไฟล แล้วจากนั้นก็เอาอีกด้านเสียบเข้ากับมือถือ sync ไป mega ด้วยเน็ตมือถือ จะมีใครตามผมจากเครือข่ายในองค์กรได้

ข้อมูลสำคัญ ต้อง ทำ air gap (ไม่ต่อเน็ต) ปิดช่องทางดึงข้อมูลออกทีละมากๆ (ปิดพวก usb port) ให้พนักงานแต่ละคนเข้าถึงข้อมูลใด้แค่บางส่วน แล้วก็เลือกพนักงานด้วย

การเหลือเทคนิกควบคุมในองค์กรเอาไว้ในเครือข่ายสาธารณะ ก็เหมือนการจงใจทำให้เครือข่ายสาธารณะควบคุมใด้เหมือนในองค์กร ไม่ รัฐบาล ก็ isp จะสามารถหาทางเอาไปไช้ประโยชน์ใด้ ซึ่งมักจะมีข้อเสียมากกว่าข้อดี ไม่ต่างกับการพยายามทำ backdoor ที่คนฝังหาประโยชน์จากมัน หลังจากนั้นสักพัก คนไม่ดีก็จะรู้แล้วก็จะนำไปไช้ คนฝังทำเฉยๆ ส่วนผู้ไช้ก็ต้องหาทางป้องกันเอาเอง

ถ้า BYOD

lew Thu, 25/10/2018 - 00:41

ถ้า BYOD ปกติบริษัทต้องมีข้อบังคับนะ (อาจจะบังคับไปถึงลงโปรแกรมเลย อย่างต่ำๆ พวกตรวจโปรแกรมลิขสิทธิ์นี่ก็ต้องทำ) พวกนี้จะเข้าโครงการได้บริษัทต้องจ่ายเงิน (รายเดือน รายครั้ง ฯลฯ ว่าไป) ส่วนเครื่องบริษัทเองก็ลงได้เองอยู่แล้ว

แต่ถ้าเน้นตามสะดวก ใครเอามาใช้กันเองก็ได้ อันนั้นก็คิดว่าไม่น่ากังวลมาก อิสระขนาดนั้นจะมากังวลว่าตรวจว่าพนักงานเข้าเว็บอะไรบ้างทำไม

มาขุดว่า dnscrypt-proxy 2

McKay Tue, 20/11/2018 - 22:48

มาขุดว่า dnscrypt-proxy 2 ตัวเต็มออกแล้ว รองรับ DoH/2 (แต่ใช้ Go)

ปล. ใช้ dnsmasq+Stubby ต่อไป..