DNS over HTTPS ออกตัวจริงแล้ว ได้เลข rfc8484

by lew
23 October 2018 - 14:00

มาตรฐาน DNS over HTTPS (DoH) ได้รับบรรจุเป็นเอกสาร rfc8484 แล้วเมื่อสัปดาห์ที่ผ่านมา หลังจากเริ่มมีการเสนอมาตรฐานเมื่อเดือนพฤษภาคม 2017 หรือเพียงปีกว่าเท่านั้น

DoH เป็นมาตรฐานตัวที่สองของ IETF ที่เป็นโปรโตคอลการเข้ารหัสการคิวรี DNS โดยมาตรฐานตัวแรกคือ rfc7858 DNS over TLS (DoT) แต่ DoT นั้นมีพอร์ตมาตรฐานเป็นพอร์ต 853 เปิดทางให้ผู้ดูแลระบบสามารถบล็อคการใช้งาน และโหมดการใช้งานเองก็มีโหมด "รักษาความเป็นส่วนตัวตามโอกาสอำนวย" (opportunistic privacy) แม้จะเข้ารหัสการเชื่อมต่อแต่ก็ไม่มีการยืนยันตัวตนเซิร์ฟเวอร์ เปิดทางให้ผู้ให้บริการอินเทอร์เน็ตดักการเชื่อมต่อได้อยู่ดี ขณะที่การล็อกเซิร์ฟเวอร์เพื่อความปลอดภัยสูงต้องอาศัยการส่งกุญแจจากช่องทางอื่น (out-of-band)

ส่วน DoH อาศัยโครงสร้าง HTTPS ที่มีการยืนยันตัวตนเซิร์ฟเวอร์เต็มรูปแบบ แต่มีการปรับแต่งเล็กน้อยเพื่อไม่ให้ต้องใช้ DNS ระหว่างการยืนยันตัวตน เช่นการตรวจรายการยกเลิกใบรับรองที่ปกติต้องเข้าเว็บ ทำให้ต้องคิวรี DNS มาตรฐานจะแนะนำให้เลี่ยงกรณีเช่นนี้ทั้งหมดและแนบสถานะใบรับรองไปกับการเชื่อมต่อโดยตรง อีกทั้งตัวพอร์ตมาตรฐานของ DoH ก็เป็นพอร์ต 443 ทำให้แยกจากทราฟิกเว็บทั่วไปได้ยาก

Paul Vixie ผู้ร่วมออกแบบสถาปัตยกรรม DNS แสดงความไม่พอใจมาตรฐานนี้เพราะเป็นการนำข้อมูลชั้นควบคุม (control plane) ไปวิ่งอยู่บนชั้นข้อมูล (data plane) และหลายครั้งผู้ดูแลระบบในองค์กรก็มีเหตุผลที่ดีที่จะมอนิเตอร์การคิวรี DNS

มาตรฐาน DoH เมื่อใช้คู่กับมาตรฐาน ESNI ที่เข้ารหัสหัว TLS ในการเชื่อมต่อก็จะปิดทางมอนิเตอร์การเชื่อมต่อแทบทั้งหมด เหลือเพียงหมายเลขไอพีที่จำเป็นกับการส่งต่อข้อมูลเท่านั้น โดยตอนนี้มาตรฐาน ESNI ก็เพิ่งปรับปรุงร่างใหม่เมื่อวันจันทร์ที่ผ่านมา

ที่มา - The Register

Blognone Jobs Premium