มาตรฐาน DNS over HTTPS (DoH) ได้รับบรรจุเป็นเอกสาร rfc8484 แล้วเมื่อสัปดาห์ที่ผ่านมา หลังจากเริ่มมีการ เสนอมาตรฐานเมื่อเดือนพฤษภาคม 2017 หรือเพียงปีกว่าเท่านั้น
DoH เป็นมาตรฐานตัวที่สองของ IETF ที่เป็นโปรโตคอลการเข้ารหัสการคิวรี DNS โดยมาตรฐานตัวแรกคือ rfc7858 DNS over TLS (DoT) แต่ DoT นั้นมีพอร์ตมาตรฐานเป็นพอร์ต 853 เปิดทางให้ผู้ดูแลระบบสามารถบล็อคการใช้งาน และโหมดการใช้งานเองก็มีโหมด "รักษาความเป็นส่วนตัวตามโอกาสอำนวย" (opportunistic privacy) แม้จะเข้ารหัสการเชื่อมต่อแต่ก็ไม่มีการยืนยันตัวตนเซิร์ฟเวอร์ เปิดทางให้ผู้ให้บริการอินเทอร์เน็ตดักการเชื่อมต่อได้อยู่ดี ขณะที่การล็อกเซิร์ฟเวอร์เพื่อความปลอดภัยสูงต้องอาศัยการส่งกุญแจจากช่องทางอื่น (out-of-band)
ส่วน DoH อาศัยโครงสร้าง HTTPS ที่มีการยืนยันตัวตนเซิร์ฟเวอร์เต็มรูปแบบ แต่มีการปรับแต่งเล็กน้อยเพื่อไม่ให้ต้องใช้ DNS ระหว่างการยืนยันตัวตน เช่นการตรวจรายการยกเลิกใบรับรองที่ปกติต้องเข้าเว็บ ทำให้ต้องคิวรี DNS มาตรฐานจะแนะนำให้เลี่ยงกรณีเช่นนี้ทั้งหมดและแนบสถานะใบรับรองไปกับการเชื่อมต่อโดยตรง อีกทั้งตัวพอร์ตมาตรฐานของ DoH ก็เป็นพอร์ต 443 ทำให้แยกจากทราฟิกเว็บทั่วไปได้ยาก
Paul Vixie ผู้ร่วมออกแบบสถาปัตยกรรม DNS แสดงความไม่พอใจมาตรฐานนี้เพราะเป็นการนำข้อมูลชั้นควบคุม (control plane) ไปวิ่งอยู่บนชั้นข้อมูล (data plane) และหลายครั้งผู้ดูแลระบบในองค์กรก็มีเหตุผลที่ดีที่จะมอนิเตอร์การคิวรี DNS
มาตรฐาน DoH เมื่อใช้คู่กับมาตรฐาน ESNI ที่เข้ารหัสหัว TLS ในการเชื่อมต่อก็จะปิดทางมอนิเตอร์การเชื่อมต่อแทบทั้งหมด เหลือเพียงหมายเลขไอพีที่จำเป็นกับการส่งต่อข้อมูลเท่านั้น โดยตอนนี้มาตรฐาน ESNI ก็ เพิ่งปรับปรุงร่างใหม่เมื่อวันจันทร์ที่ผ่านมา
ที่มา - The Register
Comments
ขั้นต่อไปของ The Great Firewall of China อาจถึงขั้นบังคับให้ Browser ที่ใช้ในจีนต้องมีการส่งข้อมูลกลับก็เป็นไปได้สูงมากๆ
ยังไม่เข้าใจครับ รบกวนใครช่วยอธิบายลึกอีกนิด
ทั้วไป ports จะไช้แยกชนิดของข้อมูลครับ อย่างข้อมูลไม่เข้ารหัส (80/8080) e-mail pop 3 (110) และข้อมูลเข้ารหัส (443)
การเลือกให้ DNS over HTTPS ไช้ port 443 แบบเดียวกับข้อมูลเข้ารหัสทำให้ ข้อมูลเข้ารหัส กับ DNS อยู่ในช่องเดียวกัน ทำให้แยกเฉพาะข้อมูล DNS (เพื่อไปแกะอ่านว่าต่อไปที่ใหน) ทำได้ยากขึ้น
Paul Vixie สนับสนุนการไช้ port แยกเบอร์ 853 มากกว่า port 443 เบอร์เดียวกับข้อมูลเข้ารหัส โดยบอกว่าเป็นการนำข้อมูลชั้นควบคุมไปวิ่งอยู่บนชั้นข้อมูล และ การแอบดูบางครั้งก็มีเหตุผลที่ดี
samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo
ขอบคุณมากครับ พออ่านความเห็นนี้แล้วก็อ่านข้างบนได้ถูกแล้ว ?
ออกทำนอง ดูท่าจะไม่มีใครทำให้ ทำเองก็ได้ ... สินะ
(ข้อความส่วนหนึ่งใน ที่มา )
ผมมองว่าความคิดต่างกันครับ ฝั่ง DoT มาจาก ISP ก็จะมองว่าการเปิดทางให้ monitor จำเป็นอยู่ ฝั่งเบราว์เซอร์นี่ไม่ยอมเลย
คงไม่ใช่แค่เรื่องทำช้าหรือไม่ทำ แต่จุดมุ่งหมายต่างกันมาก
lewcpe.com , @wasonliw
ตัวอย่างเหตุผลที่เค้ายกมกคือ ในองค์กรที่พนักงานเอาเครื่องมาใช้เอง บายพาสทุกอย่างได้หมด ฝั่ง security ก็จบเลย ก็พอจะเข้าใจเหตุผลอยู่นะ
https://twitter.com/paulvixie/status/1054944486550372354
iPAtS
... ผมสงสัยจังเลย ถ้าผมเอา usb drive สองหัวไปเสียบเครื่องที่ทำงานกอปไฟล แล้วจากนั้นก็เอาอีกด้านเสียบเข้ากับมือถือ sync ไป mega ด้วยเน็ตมือถือ จะมีใครตามผมจากเครือข่ายในองค์กรได้
ข้อมูลสำคัญ ต้อง ทำ air gap (ไม่ต่อเน็ต) ปิดช่องทางดึงข้อมูลออกทีละมากๆ (ปิดพวก usb port) ให้พนักงานแต่ละคนเข้าถึงข้อมูลใด้แค่บางส่วน แล้วก็เลือกพนักงานด้วย
การเหลือเทคนิกควบคุมในองค์กรเอาไว้ในเครือข่ายสาธารณะ ก็เหมือนการจงใจทำให้เครือข่ายสาธารณะควบคุมใด้เหมือนในองค์กร ไม่ รัฐบาล ก็ isp จะสามารถหาทางเอาไปไช้ประโยชน์ใด้ ซึ่งมักจะมีข้อเสียมากกว่าข้อดี ไม่ต่างกับการพยายามทำ backdoor ที่คนฝังหาประโยชน์จากมัน หลังจากนั้นสักพัก คนไม่ดีก็จะรู้แล้วก็จะนำไปไช้ คนฝังทำเฉยๆ ส่วนผู้ไช้ก็ต้องหาทางป้องกันเอาเอง
samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo
ถ้า BYOD ปกติบริษัทต้องมีข้อบังคับนะ (อาจจะบังคับไปถึงลงโปรแกรมเลย อย่างต่ำๆ พวกตรวจโปรแกรมลิขสิทธิ์นี่ก็ต้องทำ) พวกนี้จะเข้าโครงการได้บริษัทต้องจ่ายเงิน (รายเดือน รายครั้ง ฯลฯ ว่าไป) ส่วนเครื่องบริษัทเองก็ลงได้เองอยู่แล้ว
แต่ถ้าเน้นตามสะดวก ใครเอามาใช้กันเองก็ได้ อันนั้นก็คิดว่าไม่น่ากังวลมาก อิสระขนาดนั้นจะมากังวลว่าตรวจว่าพนักงานเข้าเว็บอะไรบ้างทำไม
lewcpe.com , @wasonliw
มาขุดว่า dnscrypt-proxy 2 ตัวเต็มออกแล้ว รองรับ DoH/2 (แต่ใช้ Go)
ปล. ใช้ dnsmasq+Stubby ต่อไป..
Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)