DNS over HTTPS (DoH)

suk

Pár měsíců zpět byla velká bouře ohledně Mozilly a jejich přístupu k DNS over HTTPS. Plán otestovat DoH ve Firefoxu a obejít s Cloudflare DNSka poskytovatelů schytal vydatnou kritiku: vyvádění dat, omezení poskytovaných služeb.... Od té doby od plánu Mozilla postupně upustila, resp. ho modifikovala. Současně své postoje uvedli i další významní hráči na poli prohlížečů: Google, Apple i Microsoft. Ve zkratce: nakonec to vypadá na kompromisní řešení. Bude se respektovat nastavení u ISP a upřednostní se DNSka ISP, pakliže ISP bude mít DoH implementován.

My jsme od té doby čelili častým dotazům: Postihne vás to nějak? Jak se k tomu stavíte?

Tentokrát by mě to zajímalo obráceně. Připravujete se na to ve svých ISP? Jak to řešíte? Nasadili jste již DoH někdo? Máte nějaká očekávání?

suk

A doplňuju i rovnou postoj za Whalebone:

DoH vítáme jakožto vhodný způsob zabezpečení uživatelů a aktivně se zapojujeme do debaty o nasazení a budoucí podobě.
Přidali jsme se k Encrypted DNS deployment initiative, jednomu z klíčových technologických aktérů.
Stali jsme se partnerem Google Chrome pro pomoc se splnění DoH požadavků u poskytovatelů.
Pracujeme na prvních nasazeních u nás i v zahraničí.
Snažíme se dělat osvětu v oboru např. přednáška na KKTS nebo i pro širší veřejnost, např. přednáška na OpenAlt

rsaf

Možná s tím nebudou mnozí souhlasit ale já si myslím, že DNS systém tak, jak vypadá dnes je určen k záhubě. Rekurzivní servery by měly zaniknout stejně, jak postupně zanikají SMTP relay. Nevidím žádný smysl v tom, že mé DNS dotazy zpracovává nějaký resolver, když by si to mohlo vyřídit koncové zařízení samo na základě root hintů. DNS servery klíčových služeb jsou vždy nablízku (dávno neplatí, že by se dotazy překládaly stovky ms), takže cache v podstatě ztrácejí smysl a pro načtení běžné webové stránky je stejně potřeba několik desítek HTTP requetů. Pár DNS/DoH requestů navíc by to nezabilo.

suk

rsaf Díky. Já myslím, že to nebude tak žhavé/rychlé. A právě těch X dotazů na jedné stránce je podle mě důvod, proč to s vymizením resolverů nebude tak žhavé. CDNky, analytické nástroje, reklama, ... těch dotazů na jedné stránce bude spíš přibývat a cache bude spíš latenci ovlivňovat - využití keše s nulovou latencí vs. 10-100ms (dle toho, kde bude name server) bude imho zásadní rozdíl pro uživatelskou přívětivost. A právě to jestli se všechny ty služby načtou z kaše nebo ne, zůstane minimálně do té doby, než někdo předesignuje internet, klíčovým bodem pro uživtelskou přívětivost. Meziročně pak vnímáme nárůst průměrného počtu dotazů na uživatele. Není to tím, že by uživatelé více brouzdali, ale že si obsah volá více překladů. No a centrální sdílený resolver prostě zásadně zvyšuje pravděpodobnost, že se uživatel trefí překladem do nakešovaného výsledku. A to ještě opomíjím věci jako serve stale nebo prefetching... Tzn. kvalitní resolver přímo v síti bude minimálně následujících několik let zárukou kvalitního browsingu.

Ale teď zpět k tématu. Někdo něco k DoH?

the_max

Tak ono t+em resolverům se také říká caching only DNS, což lépe vystihuje jeho využití.
Z logiky věci, pokud se budu dotazovat pořád dokolečka dokola root serverů, tak ty mě stejně budou dál odkazovat na servery pro jednotlivé domény. A to stojí čas. Zkus si schválně zpočítat, kolik dotazů na DNS budeš mít jen debilní stránce seznamu. to není jen seznam.cz, to jsou možná desítky různých externích prvků, reklam, skritpů... A při každém načtení té stránky se budou zase znovu otravovat ROOT servery. Jasně, pokud tu stránku refreshneš z počítače, tak adresy máš u sebe lokálně nakešované. Ale co když tu samou stránku načteš z mobilu? Teď si vem, kolik zbytečných dotazů by chodilo ze sítě poskytovatele.
Proto se používají lokální kešovací DNSka, aby klienti dostali překlad adresy rychleji.
Já bych resolvery tak úplně nezatracoval.
To samé jako o resolveru pak můžeš říct o http proxy.

rsaf

suk Všechny (nebo velkou část těch prvků) mám v cache browseru, pro často navštěvované stránky bych úplně stejně mohl mít místní DNS cache v operačním systému. Dokonce si myslím, že by pokročilejší implementace lokálního resolveru by si mohla dělat statistiku a často opakované dotazy by mohla aktualizovat na pozadí po vypršení TTL. Potom bych "své oblíbené" weby měl z DNS obsloužené ještě rychleji (a klidně bych tomu pár desítek MB paměti obětoval).
Zkoušel jsem např. homepage seznamu, je to řádově 250 prvků načtených zhruba za 5 sekund, zásadní část je z nějaké Seznamí CDNky, takže těch DNS dotazů je odhadem tak 40?
Navíc se v posledních letech docela dost zkracuje TTL - Seznam má 5min, Google taky 5min (a SOA záznam dokonce jen 1min), podobně je na tom Cloudflare...

rsaf

Sám za sebe: vítám to, v dohledné době to začnu testovat sám na sobě proti nějakým public serverům - když vidím, co vše ze sítě posbírá whalebone nebo jak do komunikace čumí enterprise firewall tak mě to až děsí a rád se před tímto schovám
Jako operátor: v tom pro sebe přínos nevidím, na druhou stranu to klidně nasadím v okamžiku, kdy bude k dispozici spolehlivá a dlouhodobě otestovaná implementace.

suk

rsaf shodneme se na tom, že je to zajímavá vize. Uvidíme, co přijde za pár let. Osobně si ale troufnu tvrdit, že DNS resolvery jako takové úplně nevymřou. Má to obrovský potenciál pro budování jednoduchých služeb na dokup zákazníkům. Ostatně v telco segmentu jde o věci, které běžně poskytujeme a snad se podaří dostat i k ISP.

suk

Na našem blogu shrnujeme aktuální vývoj ohledně oblasti DoH a DoT: https://www.whalebone.io/post/doh-and-dot-encrypted-dns-demystified

radek_kovacik

Vidím, že rok a půl tady nikdo nic nenapsal, tak bych se zeptal, zda to někdo prakticky používá (třeba na domácím Mikrotiku dle návodu z wiki), resp. je to v dnešní době již použitelné? Všiml jsem si, že nic.cz zřídil DoH server pro ověřování, ale zatím jsem neviděl nějakou statistiku o tom, kolik uživatelů to v reálu používá.

ekrajnak

U nás na sieti mám nasadený pre zákazníkov Knot Resolver vrátane DoT a DoH.

DoT robí cca. 10% požiadaviek (netuším, ako prebehlo discovery zo strany klientov).

DoH nepoužíva nikto, ale akurát riešim, ktorá CA mi vie vystaviť cert s IP adresami v alternative name, aby boli splnené podmienky pre implementáciu DDR. https://blog.cloudflare.com/announcing-ddr-support/
Ženie ma k tomu fakt, že vidím requesty na _dns.resolver.arpa a neviem na ne odpovedať. Zatiaľ 😃

radek_kovacik

ekrajnak Díky za info. Takže nasazování tohoto mechanismu bude asi stejně vlažné a pomalé, jako v případě IPv6.

ekrajnak

Ak správne rozumiem DDR mechanizmu, najväčším problémom bude splniť podmienky a to:

prevádzkovať DNS servery na verejnej IP
a zároveň
túto verejnú IP dávať zákazníkom aj na LAN strane routrov (žiadne dnsmasq, proxy ani DNS server na mikrotiku, ktorý forwarduje ďalej).

U nás obe splnené splnené a aktuálne najväčší "problém" je získať SSL cert s IPv6 adresami v SAN. Ale je to na dobrej ceste. 🙂

radek_kovacik

ekrajnak Co vlastně to DDR dělá? Z toho článku jsem to nějak nepochopil. Proč tam nemůže být DNS resolver na Mikrotiku?

ekrajnak

Tak, dnes sa mi podarilo získať certifikát a nasadiť DDR. Aktuálne nám v súčte robia DoT+DoH okolo 20% požiadaviek - myslím, že vôbec nie zlé. A navyše je tam ešte faktor, že 40% zákazníkov má ešte stále nastavené v routroch staré IP adresy DNS serverov na súkromných IP adresách, pre ktoré DDR nefunguje ... tí pribudnú časom.

DNS protocols structure

ekrajnak

radek_kovacik

V skratke: koncové zariadenie užívateľa dostalo cez DHCP IP adresy DNS serverov. Toto zariadenie by ale rado komunikovalo s DNS serverom šifrovane. Mechanizmus DDR definuje, ako sa to stane.
Koncové zariadenie sa pokúsi opýtať DNS serverov na type64 záznam _dns.resolver.arpa. Ten ako poskytovateľ musíš do DNS servera zaviesť (prvý problém, prečo to nepôjde v Mikrotiku).

Odpoveď na tento request u nás vyzerá takto:

`;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 46080
;; Flags: qr aa rd ra; QUERY: 1; ANSWER: 2; AUTHORITY: 0; ADDITIONAL: 4

;; QUESTION SECTION:
;; _dns.resolver.arpa. IN SVCB

;; ANSWER SECTION:
_dns.resolver.arpa. 900 IN SVCB 1 dns.levonet.sk. alpn=dot port=853 ipv4hint=109.236.119.2,109.236.120.2 ipv6hint=2a02:6ca3:0:1::2,2a02:6ca3:0:2::2
_dns.resolver.arpa. 900 IN SVCB 2 dns.levonet.sk. alpn=h2 port=443 ipv4hint=109.236.119.2,109.236.120.2 ipv6hint=2a02:6ca3:0:1::2,2a02:6ca3:0:2::2 key7="/dns-query{?dns}"

;; ADDITIONAL SECTION:
dns.levonet.sk. 900 IN A 109.236.119.2
dns.levonet.sk. 900 IN A 109.236.120.2
dns.levonet.sk. 900 IN AAAA 2a02:6ca3:0:1::2
dns.levonet.sk. 900 IN AAAA 2a02:6ca3:0:2::2
`

V ňom sa hovorí, že pre DoH resp. DoT má zariadenie používať dané IP adresy resp. DNS názov. Zariadenie teda otvorí SSL spojenie na ne a bude očakávať, že poskytnú globálne dôveryhodný SSL certifikát (druhý problém? Vieš do Mikrotiku nahrať custom SSL cert pre DoH?), ktorý bude mať aspoň ako alternativeName (SAN rozšírenie) dané IP adresy (čo je tiež dosť nezvyčajné a nestačí na to Letsencrypt a pod.).

radek_kovacik

Zkoušel někdo na firemním/domácím Mikrotik routeru nastavit DoH od nic.cz, jak to popisují zde? Mi to na MT nefunguje (hází to chybovou zprávu "Remote disconnected while in HTTP exchange"), ale s prohlížeči Edge a Firefox to jede. Na root.cz je i diskuze staršího data, že to s Mikrotikem nechce fungovat. Jiné DoH servery fungovaly s MT normálně - zkoušel jsem asi 5 různých společností, bohužel všechny byly zahraniční. Kromě nic.cz, je v ČR použitelný otevřený DoH server?

ekrajnak

radek_kovacik DoH aj DoT je dostupny bud na 8.8.8.8 alebo 1.1.1.1 ... ine som nemal dovod chciet/testovat.

radek_kovacik

Takže nic jiného, než Google a Cloudflare, v Česku není nebo proč volit zrovna tyto?

jcltm

radek_kovacik Můžeš si udělat klidně svůj DoT/DoH server, v tom ti nic nebrání. Jen ti z něj půjdou dotazy k nadřazeným serverům obvykle nešifrovaně.

Další stránka »