Традиционные DNS-запросы и ответы отправляются через UDP или TCP без шифрования, что делает их объектами слежки, подмены и интернет-фильтрации на основе DNS. Ответы клиентам от общедоступных преобразователей, таких как Google Public DNS, особенно уязвимы для этого, поскольку сообщения могут проходить через множество сетей, а сообщения между рекурсивными преобразователями и авторитетными серверами имен часто включают дополнительную защиту .
Чтобы решить эти проблемы, в 2016 году мы запустили DNS over HTTPS (теперь он называется DoH), предлагая зашифрованное разрешение DNS с проверкой DNSSEC через HTTPS и QUIC . А в 2019 году мы добавили поддержку стандарта DNS over TLS (DoT), используемого функцией Android Private DNS .
DoH и DoT повышают конфиденциальность и безопасность между клиентами и преобразователями, дополняя проверку DNSSEC на общедоступном DNS Google для обеспечения сквозной аутентификации DNS для доменов, подписанных DNSSEC. С помощью Google Public DNS мы стремимся обеспечить быстрое, конфиденциальное и безопасное разрешение DNS для клиентов DoH и DoT.
Поддерживаемые версии TLS и криптопакеты
Google Public DNS поддерживает TLS 1.2 и TLS 1.3 как для DoH, так и для DoT; более ранние версии TLS или SSL не поддерживаются. Поддерживаются только наборы шифров с прямой защитой и шифрованием с проверкой подлинности и дополнительными данными (AEAD). Qualys SSL Labs показывает текущий набор поддерживаемых наборов шифров.
Конечные точки
Google Public DNS использует следующие конечные точки для DoH и DoT:
DoT (порт 853) dns.google
DoH (порт 443) Шаблоны URI
RFC 8484 –
https://dns.google/dns-query{?dns}- Для POST URL-адрес — это просто
https://dns.google/dns-query, а тело HTTP-запроса — это двоичная полезная нагрузка UDP DNS с типом контента application/dns-message. - Для GET это
https://dns.google/dns-query?dns=BASE64URL_OF_QUERY .
- Для POST URL-адрес — это просто
JSON API –
https://dns.google/resolve{?name}{&type,cd,do,…}- Дополнительные параметры GET описаны на странице JSON API . Обязателен только параметр
name.
- Дополнительные параметры GET описаны на странице JSON API . Обязателен только параметр
Клиенты
Существует ряд клиентских приложений, использующих DoT или DoH.
- Android 9 (Pie) Функция «Частный просмотр» — DoT
- Intra (приложение для Android) – DoH
На веб-сайте dnsprivacy.org перечислено несколько других клиентов для DoT и DoH, но они обычно требуют умеренной технической настройки.
Примеры командной строки
Следующие примеры командной строки не предназначены для использования в реальном клиенте и представляют собой просто иллюстрации с использованием общедоступных инструментов диагностики.
ДоТ
Для следующих команд требуется Knot DNS kdig 2.3.0 или новее; в версии 2.7.4 или более поздней раскомментируйте +tls‑sni , чтобы отправить SNI , как того требует TLS 1.3.
kdig -d +noall +answer @dns.google example.com \
+tls-ca +tls-hostname=dns.google # +tls-sni=dns.google
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(dns.google), port(853), protocol(TCP) ;; DEBUG: TLS, imported 312 system certificates ;; DEBUG: TLS, received certificate hierarchy: ;; DEBUG: #1, C=US,ST=California,L=Mountain View,O=Google LLC,CN=dns.google ;; DEBUG: SHA-256 PIN: lQXSLnWzUdueQ4+YCezIcLa8L6RPr8Wgeqtxmw1ti+M= ;; DEBUG: #2, C=US,O=Google Trust Services,CN=Google Internet Authority G3 ;; DEBUG: SHA-256 PIN: f8NnEFZxQ4ExFOhSN7EiFWtiudZQVD2oY60uauV/n78= ;; DEBUG: TLS, skipping certificate PIN check ;; DEBUG: TLS, The certificate is trusted. ;; ANSWER SECTION: example.com. 2046 IN A 93.184.216.34
kdig -d +noall +answer @dns.google example.com \
+tls-pin=f8NnEFZxQ4ExFOhSN7EiFWtiudZQVD2oY60uauV/n78= \
# +tls-sni=dns.google
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(dns.google), port(853), protocol(TCP) ;; DEBUG: TLS, received certificate hierarchy: ;; DEBUG: #1, C=US,ST=California,L=Mountain View,O=Google LLC,CN=dns.google ;; DEBUG: SHA-256 PIN: lQXSLnWzUdueQ4+YCezIcLa8L6RPr8Wgeqtxmw1ti+M= ;; DEBUG: #2, C=US,O=Google Trust Services,CN=Google Internet Authority G3 ;; DEBUG: SHA-256 PIN: f8NnEFZxQ4ExFOhSN7EiFWtiudZQVD2oY60uauV/n78=, MATCH ;; DEBUG: TLS, skipping certificate verification ;; ANSWER SECTION: example.com. 5494 IN A 93.184.216.34
DoH
RFC 8484 ПОСТ
Строка в кодировке Base64Url в этой команде представляет собой DNS-сообщение, отправленное dig +noedns example.test A с нулевым значением поля DNS ID, как рекомендовано в разделе 4.1 RFC 8484 . Команда оболочки отправляет этот DNS-запрос как содержимое тела двоичных данных, используя Content-Type application/dns-message .
echo AAABAAABAAAAAAAAB2V4YW1wbGUEdGVzdAAAAQAB | base64 --decode |
curl -is --data-binary @- -H 'content-type: application/dns-message' \
https://dns.google/dns-query
HTTP/2 200 strict-transport-security: max-age=31536000; includeSubDomains; preload access-control-allow-origin: * date: Wed, 29 May 2019 19:37:16 GMT expires: Wed, 29 May 2019 19:37:16 GMT cache-control: private, max-age=19174 content-type: application/dns-message server: HTTP server (unknown) content-length: 45 x-xss-protection: 0 x-frame-options: SAMEORIGIN alt-svc: quic=":443"; ma=2592000; v="46,44,43,39"
RFC 8484 ПОЛУЧИТЬ
Строка в кодировке Base64Url в этой команде представляет собой DNS-сообщение, отправленное dig +noedns example.com A с нулевым значением поля DNS ID. В этом случае он явно передается в URL.
curl -i https://dns.google/dns-query?dns=AAABAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE
HTTP/2 200 strict-transport-security: max-age=31536000; includeSubDomains; preload access-control-allow-origin: * date: Wed, 29 May 2019 19:37:16 GMT expires: Wed, 29 May 2019 19:37:16 GMT cache-control: private, max-age=19174 content-type: application/dns-message server: HTTP server (unknown) content-length: 45 x-xss-protection: 0 x-frame-options: SAMEORIGIN alt-svc: quic=":443"; ma=2592000; v="46,44,43,39"
ПОЛУЧИТЬ JSON
При этом используется JSON API для DoH.
curl -i 'https://dns.google/resolve?name=example.com&type=a&do=1'
HTTP/2 200
strict-transport-security: max-age=31536000; includeSubDomains; preload
access-control-allow-origin: *
date: Thu, 30 May 2019 02:46:46 GMT
expires: Thu, 30 May 2019 02:46:46 GMT
cache-control: private, max-age=10443
content-type: application/x-javascript; charset=UTF-8
server: HTTP server (unknown)
x-xss-protection: 0
x-frame-options: SAMEORIGIN
alt-svc: quic=":443"; ma=2592000; v="46,44,43,39"
accept-ranges: none
vary: Accept-Encoding
{"Status": 0,"TC": false,"RD": true,"RA": true,"AD": true,"CD": false,"Question":[ {"name": "example.com.","type": 1}],"Answer":[ {"name": "example.com.","type": 1,"TTL": 10443,"data": "93.184.216.34"},{"name": "example.com.","type": 46,"TTL": 10443,"data": "a 8 2 86400 1559899303 1558087103 23689 example.com. IfelQcO5NqQIX7ZNKI245KLfdRCKBaj2gKhZkJawtJbo/do+A0aUvoDM5A7EZKcF/j8SdtyfYWj/8g91B2/m/WOo7KyZxIC918R1/jvBRYQGreDL+yutb1ReGc6eUHX+NKJIYqzfal+PY7tGotS1Srn9WhBspXq8/0rNsEnsSoA="}],"Additional":[]}
TLS 1.3 и SNI для URL-адресов IP-адресов
TLS 1.3 требует, чтобы клиенты предоставляли идентификацию имени сервера (SNI).
Расширение SNI указывает, что информация SNI представляет собой домен DNS (а не IP-адрес):
«Имя хоста» содержит полное DNS-имя хоста сервера, как его понимает клиент. Имя хоста представляется в виде байтовой строки в кодировке ASCII без завершающей точки. Это позволяет поддерживать интернационализированные доменные имена за счет использования A-меток, определенных в RFC5890 . Имена хостов DNS нечувствительны к регистру. Алгоритм сравнения имен хостов описан в RFC5890, раздел 2.3.2.4 .
Буквальные адреса IPv4 и IPv6 не допускаются в «HostName».
Эти требования могут быть трудновыполнимыми для приложений DoH или DoT, которые хотят воспользоваться преимуществами улучшений безопасности в TLS 1.3. Google Public DNS в настоящее время принимает соединения TLS 1.3, которые не предоставляют SNI, но в будущем нам может потребоваться изменить это по соображениям эксплуатации или безопасности.
Наши рекомендации для приложений DoT или DoH в отношении SNI следующие:
- Отправьте имя хоста dns.google в качестве SNI для любых подключений к службам Google Public DNS DoT или DoH.
- Если имя хоста недоступно (например, в приложении, выполняющем оппортунистический DoT), лучше отправить IP-адрес в SNI, а не оставлять его пустым.
- Адреса IPv6 должны отображаться в формате
[2001:db8:1234::5678]в скобках в заголовкеHost, но без скобок в SNI.
Усечение ответа DNS
Хотя общедоступный DNS Google обычно не усекает ответы на запросы DoT и DoH, это происходит в двух случаях:
Если Google Public DNS не может получить полные и несокращенные ответы от авторитетных серверов имен, в ответе устанавливается флаг TC.
В тех случаях, когда ответ DNS (в форме двоичного сообщения DNS) превышает ограничение в 64 КиБ для сообщений TCP DNS, Google Public DNS может установить флаг TC (усечения), если этого требуют стандарты RFC.
Однако в этих случаях клиентам не нужно повторять попытку использования простого TCP или любого другого транспорта, поскольку результат будет тот же.