Gizlilik İçin DNS-Over-HTTPS Aracılığıyla İnternet Altyapısı Üzerindeki Kontrol Uygulamaları

Gizlilik İçin DNS-Over-HTTPS Aracılığıyla İnternet Altyapısı Üzerindeki Kontrol Uygulamaları

İnternetin ilk günlerinde, yerel ağların kendi etki alan adı hizmetini (Domain Name Service- DNS) çalıştırması oldukça yaygındı DNS, internet kullanıcılarının google.com gibi hatırlanması kolay isimler aracılığıyla uzak sunucuları sorgulamasına izin veren bir çözüm olarak icat edildi. Alan adlarıyla eşlenen 64.233.160.0 gibi soyut IP numaralarına kıyasla adların hatırlanması çok daha kolaydır. Bu sayede DNS, kişilerin belli işe atanmış bir dizi sunucudan IP adresini bulmak gibi zor bir şeyi yapması yerine google.com'u yazarak bulmalarını sağlar.

O zamandan bu yana, internet altyapısını yerel müşteri ağlarından uzağa ve DNS isteklerini karşılayan sunucular da dahil olmak üzere büyük internet servis sağlayıcılarının (ISS'ler) eline vermek için giderek artan bir baskı oluşmuştur.  İnsanlar ve işletmeler günümüzde yerel ağlarında DNS kurmak yerine, daha yaygın olarak, ISS'lerinin sunduğu varsayılan DNS hizmetini kullanıyor. Bu değişim, mahremiyet kaybı konusunda birçok endüstri çalışanı için alarm oluşturmuştur.

Gerçekten de, büyük teknoloji firmaları tarafından getirilen güç, kamuoyunda ve ABD'deki bazı politik sınıflarda yok olmamıştır. Bazıları tekelleşmeyi bozarak müşteriler için daha fazla rekabet ve adil koşullar getirme ihtiyacını görüyor. İSS'lerle ilgili olarak, Vermont Senatörü Bernie Sanders gibi liderler, kendilerini holdinglerin gücünden uzak tutmalarını önerdiler. Sanders, cumhurbaşkanlığı için yaptığı son teklifte, kamu hizmetleri gibi faaliyet gösteren birkaç büyük ISS'in, işletmeler ve geniş çapta kamuoyuna yaptığı baskılar yüzünden tekellerini yıkmak için söz verdi.

Şifreleme gizliliği geri kazanabilir mi?

İSS provizyonuna daha fazla güvenmeye yönelik bu kayma karşısında, bazıları şifreleme ekleyerek ISS'lerden daha fazla gizliliğin geri kazanılabileceğini öne sürüyor. Bu durum, insanlar internette gizlilik için acele ettikçe veri şifrelemesi, KVKK ve CCPA gibi veri koruma yönetmeliklerine yönelik işletmelerin şifreleme çözümlerine doğru ilerlemesine yol açtı.

Sorulması gereken soru şu: DNS-over-HTTPS (DoH) olarak bilinen en son DNS şifreleme teknolojisi gizliliği nasıl etkileyecek?

British Telecom ISP DoH'in reklam deneği oldu.

İngiltere'de büyük bir ISS olan British Telecom (BT), Google, Mozilla ve Microsoft'un liderliğini takiben, DoH modasına uyan bir sonraki oyuncu haline geldi. Şirket bildirisine göre, “BT şu anda DNS güvenliğindeki - DNSSEC, DNS over TLS (DoT) ve DNS over HTTPS (DoH)- geniş bant DNS platformumuzu yükseltmek için yol haritası seçeneklerini araştırıyor. Bu etkinliğe yardımcı olmak ve özellikle operasyon dağıtım öngörüleri kazanmak için deneysel bir DoH yeteneğine sahip olduk.” 

DoH, HTTPS protokolü aracılığıyla DNS isteklerini şifreleyen bir ağ protokolüdür. Geleneksel olarak, DNS istekleri düz metin olarak gönderildiğinden, BT yöneticileri şirket ağlarını, sorgulanan etki alanları için kolayca izleyebilir ve kullanıcıların kötü amaçlı etki alanlarına erişmesini engelleyebilir..

Bu, DNS isteklerinin daha az gizli olduğu anlamına gelmesine rağmen, DNS düzeyinde bilgi toplamak her zaman bir ağın güvenliğini denetlemek için kritik bir veri kaynağı olmuştur.

DoH, gizliliği yeni bir boyut kazandırıyor.

Kullanıcılar, Chrome veya Firefox'ta gezinirken DoH aracılığıyla DNS isteklerinin şifrelendiğini bildiklerinde daha fazla gizliliğe sahip olduklarını hissedebilirler. Ancak, DoH'u daha çok iki tarafı keskin bir bıçak olarak değerlendirebiliriz - DNS sağlayıcıları etki alanı isteklerinizi hala görüntüleyebilirken ISS'ler ve BT yöneticileriniz göremeyebilir. Başka bir deyişle, DoH'un getirdiği tek “gizlilik”, güveninizi ISS'nizden seçtiğiniz DNS sağlayıcısının eline kaydırmaktır ki bu; Google, Firefox ve BT gibi oyundaki en büyük teknoloji firmalarına güvenmek anlamına gelir.

Bu durum, DNS öncüsü Dr. Paul Vixie'nin, Google'ı DoH hizmetlerinin kararlı adreslerini yayınladığı için övmesinin bir nedenidir. BT yöneticileri, ağları için Google Chrome'un DoH hizmetini kolayca engelleyebilir. Buna ek olarak, Chrome kullanıcıları kendi DNS sağlayıcılarını seçme özgürlüğünü koruyacak ve Google'ın şifreli DNS hizmetini kullanmaya mecbur kalmayacaktır. Dr. Vixie'nin kendi yerel DNS çözünürlük sunucularının işletilmesinin önemi hakkındaki görüşleri hakkında daha fazla bilgi için Dark Reading makalesi olan “DNS Hizmet Yerelliğinin Faydaları” okuyabilirsiniz.