IETF ออกเอกสาร RFC7858 ระบุถึงการขอข้อมูล DNS แบบเข้ารหัสแล้ว โดยใช้การเชื่อมต่อแบบ TLS ผ่านพอร์ต 853 ที่ประกาศใหม่
โดยปกติแล้วการเข้ารหัส TLS เช่นการเชื่อมต่อเว็บ จะต้องยืนยันชื่อโดเมนของเครื่องปลายทาง (เช่นโดเมน www.blognone.com) แต่เนื่องจากเป็นการเชื่อมต่อกับเซิร์ฟเวอร์ DNS เอง RFC7858 จะเปิดให้เข้ารหัสการเชื่อมต่อแบบไม่ต้องยืนยันตัวตน (authenticate) ก็ได้ หรืออาจจะใช้กระบวน key-pinning เช่นเซิร์ฟเวอร์ DNS สาธารณะอาจจะเปิดเผยค่า fingerprint ของกุญแจสาธารณะให้คนทั่วไปได้คอนฟิกไว้ล่วงหน้า
การเข้ารหัสเช่นนี้นับเป็นการปิดบังจุดโหว่อีกชุดหนึ่งของการเชื่อมต่อที่มีความปลอดภัย จากเดิมที่ผู้ดักฟังอาจจะดักฟังการขอข้อมูล DNS เพื่ออนุมานได้ว่าผู้ใช้กำลังเข้าเว็บอะไรอยู่ การเข้ารหัสเช่นนี้ทำให้ข้อมูล DNS ไม่สามารถดักฟังได้ อย่างไรก็ดียังมีปัญหาในส่วน TLS SNI ที่ส่งข้อมูลโดเมนที่ต้องการเชื่อมต่อไปยังเซิร์ฟเวอร์โดยไม่ได้เข้ารหัส ทำให้ผู้ที่ดักฟังสามารถรู้ได้อยู่ดีว่าผู้ใช้กำลังเข้าเว็บอะไร ประเด็นนี้ทาง IETF ก็มีการพูดคุยกันนาน แต่ยังไม่มีมาตรฐานออกมา
การเข้ารหัสด้วย TLS เช่นนี้ทำให้ประสิทธิภาพโดยรวมลดลงเพราะการเชื่อมต่อ TLS ใช้เวลานานขึ้น RFC7858 จึงแนะนำว่าเซิร์ฟเวอร์และไคลเอนต์ไม่ควรตัดการเชื่อมต่อทันทีหลังขอข้อมูลเสร็จ แต่เก็บกรเชื่อมต่อไว้ใช้งานไปเรื่อยๆ
ที่มา - The Register, IETF
from Blognone https://www.blognone.com/node/81410
via IFTTT
