インターネット技術タスクフォース(IETF)はDNS-over-HTTPSを標準として正式に採用し、それがWebのインフラストラクチャにとって危険であるかどうかについての議論を再燃させた。
IETF は先週末、この提案を RFC 8484 として Request For Comment (RFC) レベルに昇格させることで承認しました。
このアイデアの目的は、DNS ルックアップの機密性と整合性を保証することだった。これは、共同執筆者の Mozilla の Patrick McManus 氏が2017 年 12 月にThe Registerに説明したとおりだ。政府や悪意のある人物が同様に DNS リクエストに干渉したり、覗き見したりするためだ。
暗号化は機密性を確保します。これは、RFC 8484ではUDP経由でプレーンテキストのDNSリクエストを送信する代わりに、トランスポート層セキュリティ(TLS)によって保護されたHTTPS経由で送信するためです。整合性保護は、サーバーの公開鍵を使用することで、DNSサーバーのなりすましが不可能であることを保証することから実現されます。
IETFはDNS over HTTPSでプライバシーを保護し、ネット中立性を支援します
続きを読む
これらは良いことのように聞こえるが、モーリシャスのプログラマーであり、IETF の活動に貢献している Logan Velvindron 氏はThe Regに対し、RFC に誰もが満足しているわけではないと指摘した。
DNSの設計者の一人であるポール・ヴィクシー氏は、これはまさに大惨事だと指摘した。金曜日、彼はこうツイートした。「RFC 8484はインターネットセキュリティにとってまさに厄介者だ。せっかくの計画を台無しにして申し訳ない。まるで囚人たちが精神病院を乗っ取ってしまったようだ。」
Vixie 氏は、DoH はコントロール プレーン (シグナリング) メッセージをデータ プレーン (メッセージ転送) に移動するため、DNS の基本アーキテクチャと互換性がなく、これはあってはならないことだと述べています。
彼はTwitterで、ネットワーク管理者はDNSアクティビティを監視・分析する能力が必要であり、DoHはそれを阻害すると主張した。「DoHは企業ネットワークやその他のプライベートネットワークを迂回するオーバーザトップ方式です。しかし、DNSは制御プレーンの一部であり、ネットワーク運用者はそれを監視・フィルタリングできる必要があります。DoHではなく、DoTを使用してください。」
DoT は DNS over TLS (RFC 7858) であり、DoH とは異なる標準であり、同じ整合性とプライバシーの目的に取り組んでいます。
ネットワークとユーザーのどちらが重要ですか?
DoT はこれらの目的を達成しますが、DoH が抵抗するレベルの干渉は依然として受けます。DoT はポート 853 を独自に所有しているためブロックされる可能性があり、ユーザーの DoT 要求 (ただし、その要求の内容や応答は不可) はネットワークから見ることができます。
一方、DoH はポート 443 を他の HTTPS トラフィックと共有します。
レジスター紙は、この議論が白熱しているため名前を明かさないよう要請したネットワークエンジニアに話を聞いた。
同氏は、DoH は DNS を他のトラフィックと区別するために使用できる識別子を削除するため、DNS トラフィックを妨害しようとする人にとっては問題になると述べた。
「攻撃者」は、DNS over TLS をブロックしているホストをブロックするのではなく、DoH を提供するホスト全体をブロックする必要があります。つまり、CDN、検索エンジン、または Cloudflare のような企業をブロックする必要があることになります。
この観点から見ると、DoH は強力な人権論によって裏付けられています。つまり、敵対的な政府は、活動家が DoT としてリクエストを送信している場合、暗号化された DNS を使用していることを検出できますが、HTTPS トラフィックと同じポートを使用している場合は検出できません。
ただし、DNS の動作を検査して妨害する正当なセキュリティ アプリケーションは存在します。たとえば、OpenDNS (現在は新しい所有者によって Cisco Umbrella としてブランド名が変更されています) を利用して子供が閲覧するものをサニタイズする親や、侵害されたエンドポイントにマルウェアを配信するためだけに存在するドメインから企業ネットワークを保護するシステム管理者などが挙げられます。
恥ずかしさで泣き、自分を責める
どちらのアプローチが優勢になるにせよ、Mozilla の Daniel Steinberg 氏が先週末に書いたように、論争が存在する主な理由は、DNS の世界が何十年にもわたってユーザーのプライバシーを保護する行動をとらなかったことにあります。
「私にとって、DoH が部分的に必要なのは、『DNS の世界』が安全で安心な名前検索を大衆向けに出荷、展開することに失敗しており、これが 1 層上のアプリケーションが依然としてユーザーを保護できる唯一の方法だからです。」
これは、DNSプライバシーの専門家であるサラ・ディキンソン氏(DoTテストプラットフォームStubbyの開発者)が7月に欧州国家トップレベルドメインレジストリ評議会(Council of European National Top-Level Domain Registries)とのインタビューで述べたことと一致する。彼女は、業界は対応が遅かったためにDoHを自ら招いたと述べた。「ブラウザはただひたすらDoHに突入しているだけです。DNSから既に必要なものを得ていたなら、DoHへの移行にそれほど熱心ではなかったでしょう。しかし、彼らは必要なものを得ていないだけで、決して得られないだろうと感じているのではないでしょうか。」
DNS プライバシー プロジェクトで文書化されているように、DoT と DoH の両方が導入されているため、DoT と DoH の問題は、ユーザーとプロバイダーの選択によって解決される可能性が高いです。
プロトコル上の緊張に加え、ベルビンドロン氏はメールで、最終版RFCにサーバープッシュという機能が組み込まれていると指摘した。これは、昨年The Registerが初めてインターネットドラフトについて議論した際にはリストになかった機能だ。「基本的に、リクエストをスキャンすることで、サーバーは次のリクエストを推測し、ユーザーに素早く提供できるようになるのです。」®
