Nazwa.pl chroni prywatność użytkowników Internetu za pomocą DNS over TLS

Nazwa.pl chroni prywatność użytkowników Internetu za pomocą DNS over TLS

Chronisz swoją prywatność? Nie lubisz, gdy ktoś Cię podgląda? Z pewnością są tacy, którzy to lubią, ale jeżeli Ty do nich nie należysz, to mamy dla Ciebie dobrą wiadomość – nazwa.pl jako pierwsza firma w Polsce wprowadziła zabezpieczenia, które uniemożliwiają inwigilacje zapytań do DNS, wprowadzając obsługę standardu DNS over TLS na DNS Anycast nazwa.pl obsługującym ponad 600 000 domen.

DNS działa jak książka telefoniczna, która zamienia nazwy domen na adresy IP. Przed otwarciem strony WWW lub wysłaniem wiadomości e-mail konieczne jest ustalenie adresu IP serwera w sieci Internet. Aby to zrobić, komputer łączy się z serwerem DNS obsługującym daną domenę i ustala ten adres IP. Zapytanie to jednak przekazywane jest otwartym tekstem, umożliwiając podsłuchanie transmisji i dokładne ustalenie, z jakiej strony WWW korzysta użytkownik, a co gorsza podmianę zwracanego adresu IP serwera, na którym jest strona WWW.

Problem prywatności został rozwiązany poprzez wprowadzenie szyfrowanego połączenia pomiędzy komputerem a serwerem DNS, na podobnej zasadzie jak ma to miejsce w przypadku szyfrowania transmisji stron WWW zabezpieczonych przy użyciu certyfikatów SSL. Standard tego szyfrowania został opublikowany przez Internet Engineering Task Force w RFC 7858.

W tym miejscu warto jednak wyjaśnić, że DNS over TLS chroni prywatność przesyłanych zapytań i odpowiedzi z systemu DNS, natomiast weryfikacją poprawności przesyłanych danych zajmuje się inne zabezpieczenie o nazwie DNSSEC. DNSSEC podpisuje przesyłane z serwera DNS informacje za pomocą klucza prywatnego, a komputer może za pomocą ogólnodostępnego klucza publicznego zweryfikować, czy w procesie transmisji danych nie doszło do przekłamań.

DNSSEC i DNS over TLS uzupełniają się nawzajem, zapewniając zarówno poufność przesyłanych danych, jak i pewność, że dane te nie zostały sfałszowane, uniemożliwiając przestępcom przekierowanie użytkownika na fałszywą witrynę WWW. Stosowanie równocześnie DNSSEC i DNS over TLS stanowi duże wyzwanie technologiczne dla firm hostingowych, dlatego tylko nieliczne z nich decydują się na wprowadzenie bezpiecznych rozwiązań dla swoich Klientów, pomimo że nie ma wątpliwości, że służą one zwiększaniu bezpieczeństwa i prywatności.

Źródło:
1. https://tools.ietf.org/html/rfc7858
2. https://en.wikipedia.org/wiki/DNS_over_TLS