示意圖,Photo by michael podger on https://unsplash.com/photos/jpgRztEuaV4

就在MozillaGoogle相繼宣布要在Firefox與Chrome瀏覽器中導人DoH(DNS-over-HTTPS)之後,外界質疑的聲浪就不曾斷過,而近日荷蘭國家網路安全中心(NCSC)與亞太網路資訊中心(APNIC)亦出面批評DoH,前者聲稱DoH將讓組織更難執行安全控制,後者則說DoH不利隱私,呼籲外界不要對DoH有著過度期待。

DoH就是傳遞網域名稱系統(DNS)解析請求時採用HTTPS加密協定,而非使用標準的明文請求,因而可以避免使用者的請求受到審查、監控或遭到竄改,標榜能夠強化使用者的隱私與安全。

不過,這些特色同樣也帶來了困擾。例如NCSC便說,那些仰賴過濾機制來進行安全監控的組織或企業,將因此失去安全控制能力,而得將網域名稱解析的任務交給第三方,可能因此造成資訊外洩,曝露組織內部的資源命名,甚至破壞內部網路的連結。

而APNIC則說明,DNS(網域名稱系統)通常是由網路的操作者所提供,可能是ISP業者、可能是電信業者、可能是企業主,或者是邪惡的公開Wi-Fi,但DoH基本上只能阻止中間人攻擊,並無法阻止DNS伺服器供應商檢視、封鎖或竄改DNS資料。

此外,APNIC指出,其實在4種情況下使用者所造訪的網站都會以明文傳輸,DNS只是其中之一,有些瀏覽器允許使用者以HTTP提出請求,再轉至HTTPS;或者是TLS經常必須以明文傳輸使用者打算連結的網站名稱;為了確保TLS傳輸是有效的,瀏覽器與TLS會執行OCSP來查找CA供應商,而此一查找內容亦為明文;且研究顯示,有95%的網站只要透過IP位址就能確認它們的身分,且IP位址無法加密。

除了NCSC與APNIC之外,ZDNet也整理了許多安全研究人員對DoH的擔憂。除了上述的DoH並無法阻止ISP業者追蹤使用者、可能破壞組織的安全監控之外,還有人認為它會削弱網路安全,因為當把查詢流量加密之後,便無法再利用黑名單或查詢資料,來判斷使用者是否連結到惡意網站,因而助長網路犯罪。


Advertisement

更多 iThome相關內容