Как HTTP(S) используется для DNS: DNS-over-HTTPS на практике
#https #DNS #DoT #DoH #сети
Ни DNS-запросы, ни DNS-ответы в классической DNS никак не защищены: данные DNS-транзакций передаются в открытом виде. DNS-over-HTTPS (или DNS Queries over HTTPS, DoH) - самая распространённая сейчас технология для защиты DNS-трафика конечного пользователя от прослушивания и подмены. Несмотря на то что фактическую защиту в DoH обеспечивает TLS, технология не имеет никакого отношения к DNS-over-TLS (DoT). Не перепутайте. Например, реализация DoH ни на сервере, ни на клиенте не требует поддержки DoT (и наоборот). Да, DoH и DoT схожи по верхнеуровневой задаче: и первая, и вторая - это технологии защиты DNS-транзакций, однако у DoH иная архитектура и поэтому более узкая область применения, чем у DoT.
В отличие от DoT, DoH подходит строго для использования "на последней миле", то есть между приложением или операционной системой на компьютере пользователя и сервером, осуществляющим поиск информации в DNS - рекурсивным DNS-резолвером. HTTP в DNS-over-HTTPS слишком плотно "прилегает" к DNS, чтобы применение данной технологии на участке от рекурсивного резолвера до авторитативных серверов выглядело хотя бы минимально обоснованным. Собственно, исходный RFC и рассматривает только сценарий "последней мили", где DoH оказывается максимально полезной.
🔗 Дальше душно
🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч
#https #DNS #DoT #DoH #сети
Ни DNS-запросы, ни DNS-ответы в классической DNS никак не защищены: данные DNS-транзакций передаются в открытом виде. DNS-over-HTTPS (или DNS Queries over HTTPS, DoH) - самая распространённая сейчас технология для защиты DNS-трафика конечного пользователя от прослушивания и подмены. Несмотря на то что фактическую защиту в DoH обеспечивает TLS, технология не имеет никакого отношения к DNS-over-TLS (DoT). Не перепутайте. Например, реализация DoH ни на сервере, ни на клиенте не требует поддержки DoT (и наоборот). Да, DoH и DoT схожи по верхнеуровневой задаче: и первая, и вторая - это технологии защиты DNS-транзакций, однако у DoH иная архитектура и поэтому более узкая область применения, чем у DoT.
В отличие от DoT, DoH подходит строго для использования "на последней миле", то есть между приложением или операционной системой на компьютере пользователя и сервером, осуществляющим поиск информации в DNS - рекурсивным DNS-резолвером. HTTP в DNS-over-HTTPS слишком плотно "прилегает" к DNS, чтобы применение данной технологии на участке от рекурсивного резолвера до авторитативных серверов выглядело хотя бы минимально обоснованным. Собственно, исходный RFC и рассматривает только сценарий "последней мили", где DoH оказывается максимально полезной.
Please open Telegram to view this post
VIEW IN TELEGRAM
👾7👍4🔥1