Google menyelesaikan layanan DNS-over-HTTPS-nya

Google mengumumkan ketersediaan umum layanan DNS-over-HTTPS Publik pada hari Rabu, berdasarkan standar RFC 8484 Satuan Tugas Rekayasa Internet. Langkah ini merupakan puncak dari tiga tahun Google fine-tuning DNS melalui HTTPS, atau dikenal sebagai DoH.

“Hari ini kami mengumumkan ketersediaan umum untuk layanan DoH standar kami. Sekarang pengguna kami dapat menyelesaikan DNS menggunakan DoH di domain dns.google dengan alamat anycast yang sama (seperti 8.8.8.8) sebagai layanan DNS biasa, dengan latensi yang lebih rendah dari PoP tepi kami di seluruh dunia, ”tulis Marshall Vale, manajer produk dan Alexander Dupuy, insinyur perangkat lunak di Blog Keamanan Google.

Langkah ini merupakan upaya Google untuk meningkatkan privasi konsumen, mengurangi ancaman serangan man-in-the-middle, dan mempercepat internet dengan solusi baru untuk mengamankan lalu lintas server nama domain yang menggunakan saluran HTTPS terenkripsi.

Lapisan Privasi dan Keamanan Lainnya

Saat ini, penyedia layanan internet pengguna paling sering merupakan satu-satunya pihak yang mengetahui permintaan DNS yang dibuat oleh browser, terutama karena ISP sendiri yang bertanggung jawab atas perutean permintaan tersebut. Hampir semua yang dilakukan pengguna secara online dimulai dengan permintaan DNS. Fungsinya untuk memetakan nama domain (seperti example.com) ke alamat IP sebenarnya dari server yang meng-hosting halaman web yang diinginkan.

Kueri DNS dikirim dalam bentuk teks yang jelas (menggunakan UDP atau TLS) dan dapat mengungkapkan situs web yang dikunjungi pengguna, bersama dengan metadata seperti nama situs, kapan dikunjungi dan seberapa sering. Dalam kasus lain, ketika filter konten ada, log DNS dapat menangkap ID pengguna atau alamat MAC. Dan berkat melonggarnya aturan privasi oleh anggota parlemen, sekarang ISP dapat berbagi aktivitas internet penggunanya dengan pihak ketiga.

Upaya Serupa oleh Stakeholder Familiar

Karena alasan ini DNS over TLS (DoT) dianggap sebagai aspek kebocoran pipa ledeng internet. Itulah sebabnya Google dan lainnya, seperti Mozilla dan Cloudflare, penyedia jaringan pengiriman konten yang berfokus pada keamanan, telah membangun dan mempromosikan alternatif baru untuk mengirimkan lalu lintas menggunakan UDP dan TLS.

Pada bulan April 2018, Cloudflare meluncurkan layanan DNS-over-HTTPS miliknya yang disebut 1.1.1.1. Baru-baru ini, kelompok Firefox Mozilla Foundation juga mengumumkan sedang menguji layanan DNS-over-HTTPS dengan sekelompok kecil pengguna.

Privasi, Keamanan, dan Kecepatan

Kelompok-kelompok ini berpendapat serangan man-in-the-middle (MiTM) sering mengeksploitasi sifat tidak aman dari DNS melalui serangan Spoofing DNS atau Pembajakan DNS atau Keracunan DNS. Serangan MiTM yang melibatkan DNS adalah ketika seorang peretas dapat menyalahgunakan server DNS untuk mengarahkan kembali permintaan halaman web dan mengembalikan situs-situs palsu (atau file-file) yang tampaknya sah.

Dengan menempatkan DNS dalam saluran terenkripsi HTTPS, ISP (hotspot hotel atau café Wi-Fi) tidak dapat lagi menguping pada permintaan DNS. Ini juga mempersulit peretas untuk membajak atau menipu aktivitas DNS untuk meningkatkan serangan MiTM.

Lalu ada masalah efisiensi dan keandalan. Cloudflare menyatakan bahwa menggunakan resolver DNS melalui permintaan HTTPS lebih efisien dan dapat mencukur hingga 15 milidetik dari waktu yang diperlukan untuk membuat permintaan DNS untuk membuat halaman web. Bahkan milidetik lagi dapat dicukur ketika Cloudflare bertindak sebagai layanan hosting DNS resmi, kata Prince. Google juga menjanjikan latensi yang lebih rendah, namun tidak menyebutkan peningkatan kecepatan tertentu.

Adopsi RFC 8484 penting. Standar ini belum diratifikasi oleh IETF, tetapi karena semakin banyak pemangku kepentingan internet yang mengadopsinya, semakin dekat standar formal untuk menjadi standar DoH. Pada bulan April 2018, para ahli mengatakan standar dapat diadopsi dalam hitungan minggu. Maju cepat 14 bulan dan RFC 8484 masih siap untuk diskusi. Tweak terakhir untuk proposal adalah pada Oktober 2018. Masalah Keamanan dan Privasi

Sementara banyak orang senang dengan menggunakan saluran HTTPS terenkripsi untuk mengamankan lalu lintas DNS, ada beberapa yang memperingatkan bahwa hal itu memperdagangkan satu privasi dan masalah keamanan dengan yang lain. Mereka berpendapat, dengan merutekan lalu lintas melalui sistem manajemen jaringan distribusi konten (seperti Cloudflare dan lainnya) mereka membuat repositori sentral baru untuk permintaan DNS yang dapat diretas atau digunakan untuk menambang data informasi pengidentifikasi pribadi (PII).

Dalam sebuah wawancara dengan Threatpost tahun lalu, Matthew Prince, salah satu pendiri dan CEO Cloudflare, mengatakan, “Kami berkomitmen untuk tidak menyimpan log DNS untuk layanan selama lebih dari 24 jam. Kami tidak menulis alamat IP sumber ke disk - yang merupakan satu-satunya data yang dapat mengidentifikasi pelanggan. Kami tidak tertarik menjadi repositori terpusat untuk PII. Model bisnis kami bukan iklan dan ini bukan tentang menyimpan data. "

Dalam uji DoH Google, kebijakannya menyatakan:

"Alamat IP klien Anda hanya dicatat sementara (terhapus dalam satu atau dua hari), tetapi informasi tentang ISP dan lokasi tingkat kota / metro disimpan lebih lama untuk tujuan membuat layanan kami lebih cepat, lebih baik, dan lebih aman."

Sumber Threatpost