Sự khác nhau giữa DNS over TLS & DNS over HTTPS là gì?

Khi chúng ta nghe, có một sự tương đồng, nhưng cũng có một sự khác biệt quan trọng và gây ra một cuộc tranh cãi sôi nổi.

DNS over TLS (DoT) và DNS over HTTPS (DoH) có vẻ tương đồng và khá khó phân biệt. Cả hai đều mã hóa các yêu cầu DNS, nhưng có sự khác biệt lớn về cổng sử dụng.

Có nhiều khía cạnh để phân tích ở đây, nhưng rất đáng để tìm hiểu kỹ để cung cấp cho bạn cái nhìn sâu sắc hơn về sự khác biệt giữa DNS over TLS và DNS over HTTPS – và tại sao cuộc thảo luận này là quan trọng.

Hãy khám phá cùng tôi để hiểu rõ hơn.

DNS là gì? Tại sao cần TLS hoặc HTTPS?

DNS, viết tắt của Hệ thống Tên miền, có nhiệm vụ dịch các địa chỉ IP thành các kí tự có thể hiểu được bởi người dùng và ngược lại, dịch các URL thành địa chỉ IP để máy tính có thể hiểu.

Khi bạn muốn truy cập vào ssl.Vn, máy chủ DNS sẽ lấy URL đó và tìm địa chỉ IP được liên kết với nó. Trong trường hợp này, địa chỉ IP là 107.23.230.173.

Để tìm địa chỉ IP của trang web bạn đang truy cập, bạn có thể thực hiện một số bước đơn giản trên cả Windows và Mac. Với người dùng Windows, họ chỉ cần nhập “cmd” vào thanh tìm kiếm và mở Command Prompt, sau đó nhập:

tracert anydomain.com

Với người dùng Apple, việc này sẽ trở nên đơn giản hơn. Chỉ cần vào thanh tìm kiếm của Mac, gõ “Network Utility” và nhấn để mở nó. Tiếp theo, chuyển đến tab Traceroute và nhập tên miền vào trường theo dõi.

Trong quá khứ, việc yêu cầu DNS đã được thực hiện bằng cách sử dụng giao thức UDP hoặc TCP – điều này có nghĩa là chúng đã được truyền trong dạng văn bản đơn giản.

Và như chúng ta sẽ thảo luận, đây có thể là một vấn đề.

Tại sao chúng ta cần mã hóa các yêu cầu DNS?

Theo Freedom House, ít hơn một phần tư số người dùng internet trên toàn cầu sinh sống trong các quốc gia mà internet không được coi là tự do. Điều này không chỉ đơn thuần là miễn phí về mặt giá trị, mà còn đề cập đến quyền tự do. 36% người dùng internet sống trong các quốc gia mà internet bị hạn chế hoàn toàn, trong khi 28% số người khác sống trong các quốc gia mà internet bị hạn chế một phần.

Một vài tuần trước, Ethiopia đã đóng cửa internet trong cả nước nhằm ngăn chặn một cuộc đảo chính quân sự có vẻ như đang bùng nổ vào thời điểm đó.

Khi lịch sử internet của bạn có thể dẫn đến nguy cơ bị bắt giữ, tổn thương hoặc thậm chí bị giết, việc thay đổi yêu cầu DNS có thể trở thành một vấn đề đáng xem xét. Dù có vẻ như là quá đáng, nhưng chỉ cần nghiên cứu kỹ, ta có thể nhìn thấy những hậu quả mà những người thường xuyên bị gán nhãn là bất đồng chính kiến dựa trên việc sử dụng internet của họ có thể gặp phải.

Lý do đó là vì một số bên liên quan đến cuộc tranh luận này cho rằng đây là vấn đề nhân quyền, một vấn đề có thể gây xúc động mạnh.

Có sự đồng thuận rằng việc mã hóa yêu cầu DNS là không thể bàn cãi, và phương pháp tốt nhất để thực hiện điều đó là sử dụng đối số.

Dù cả hai tiêu chuẩn này đều mã hóa yêu cầu DNS, nhưng có một số khác biệt quan trọng giữa DNS over TLS và DNS over HTTPS. IETF đã định nghĩa DNS over HTTPS trong RFC 8484, trong khi HTTPS over TLS được định nghĩa trong RFC 7858 và RFC 8310.

DNS over TLS sử dụng giao thức TCP làm cơ sở cho kết nối và áp dụng các lớp mã hóa và xác thực TLS. Trong khi đó, DNS over HTTPS sử dụng HTTPS và HTTP / 2 để thiết lập kết nối.

Điều quan trọng ở đây là sự khác biệt, vì nó liên quan đến cổng được sử dụng. DNS over TLS có cổng đặc biệt của riêng nó, cụ thể là Cổng 853. DNS over HTTPS thì sử dụng Cổng 443, cổng chuẩn cho lưu lượng HTTPS.

Trong một số tình huống, mặc dù có một cổng chuyên dụng đáng chú ý, điều này không phải lúc nào cũng là lợi thế. Mặc dù DNS over HTTPS có thể được ẩn trong lưu lượng mã hóa, DNS over TLS chỉ sử dụng một cổng duy nhất, cho phép bất kỳ ai tại mạng có thể dễ dàng xem và ngăn chặn chúng.

Cấp, yêu cầu của bản thân đã được mã hóa, do đó bạn không biết nội dung hoặc phản hồi của nó. Tuy nhiên, họ sẽ biết rằng bạn đang sử dụng DNS over TLS, làm tăng sự nghi ngờ ít nhất là điều đó.

Trường hợp DNS over TLS

Paul Vixie, một trong số các kiến ​​trúc sư của DNS, được biết đến với ý kiến ​​có trọng lượng. Gần đây, ông đã phản đối RFC 8484 (DNS over HTTPS) trong một cuộc trao đổi trên Twitter với Nick Sullivan, người đứng đầu phòng mật mã tại Cloudflare.

RFC 8484 is a cluster duck for internet security. Sorry to rain on your parade. The inmates have taken over the asylum

Vixie không được tuân theo quan điểm của một nhà hoạt động nhân quyền tận tâm và càng không tuân theo quan điểm của một cựu chiến binh an ninh giàu kinh nghiệm. Những hạn chế về nhân quyền có sự tương đồng và khả năng xác định yêu cầu của DoT cũng là lợi ích cho an ninh.

Không giống với việc kiểm tra HTTPS, ý tưởng của việc gián đoạn kết nối HTTPS có vẻ như không được đánh giá cao và có một số người trong cộng đồng thông tin an ninh tin rằng điều này làm yếu đi tính bảo mật của mã hóa. Tuy nhiên, vẫn có các quản trị viên mạng doanh nghiệp và nhân viên an ninh không thể từ bỏ khả năng kiểm tra lưu lượng truy cập của họ. Việc mất tầm nhìn đó đã góp phần dẫn đến việc vi phạm của Equifax. Những kẻ tấn công thường ưa thích ẩn trong lưu lượng được mã hóa, điều này đã được nhắc lại bởi các cuộc tấn công Magecart gần đây.

DNS over TLS có nhiều ưu điểm, hết sức hữu ích trong việc bảo vệ sức khỏe của mạng. Tuy nhiên, DNS over HTTPS lại khác biệt…

DoH là một điểm vượt qua hàng đầu của doanh nghiệp và các mạng riêng khác. Nhưng DNS là một phần của mặt phẳng điều khiển và các nhà khai thác mạng phải có khả năng theo dõi và lọc nó. Sử dụng DoT, không bao giờ DoH, ” Vixie tweet .

Vixie lập luận rằng DNS over HTTPS gây ra mất đi một phương pháp quan trọng để kiểm tra giao thông. Nó cũng làm cho công việc chặn các trang web khác trở nên khó khăn hơn. Thay vì chỉ cần chặn các yêu cầu DNS thông qua một cổng cụ thể, bạn phải chặn toàn bộ lưu lượng HTTPS, gây ra nhiều rắc rối.

Từ quan điểm của nhân quyền, đó là một điều tốt, nhưng từ mạng lưới an ninh mạng, đó lại là một điều xấu.

Tiêu chuẩn tốt hơn, DNS over HTTPS hoặc DNS over TLS là gì?

Thực tế, đây là vấn đề liên quan đến nhân quyền bị hạn chế để phát triển, tuy nhiên, điều quan trọng cần ghi nhớ là ủng hộ DNS over TLS có lợi cho việc bảo mật mạng, nhưng cũng có thể gây ra một số lo ngại về quyền riêng tư. Những người lạnh lùng hoặc thiếu sự đồng cảm chỉ nhìn nhận vấn đề này từ một góc nhìn khác.

Có lúc, điều tốt nhất không phải từ quan điểm định tính, nhân quyền hay đạo đức. Với nhiều người ủng hộ quan điểm DNS over TLS, điều này không liên quan đến bảo mật thực tế mà họ cho rằng DNS over HTTPS kém tiêu chuẩn hơn DNS over TLS.

Không phải làm việc trong tôn trọng lương tâm xã hội, mà là thiết kế tiêu chuẩn hiệu quả nhất.

Sự riêng tư không bị ai chống đối, dù không phải ai cũng đấu tranh vì nó.

Chúng tôi sẽ thông báo cho bạn về tiến trình phát triển của chúng tôi. Xin vui lòng để lại bất kỳ nhận xét hoặc câu hỏi nào bên dưới.