Lý do ISP hy vọng bạn không biết tại sao các giao thức mã hóa DNS lại khác nhau

Mặc dù chúng ta sử dụng các địa chỉ web dễ nhớ, nhưng Internet thực sự hoạt động trên một hệ thống địa chỉ IP và máy chủ từ xa. Đằng sau đó, nó phụ thuộc vào Domain Name System (DNS), hệ thống này chuyển đổi các tên miền đó thành địa chỉ IP - một định dạng mà thiết bị của bạn có thể hiểu được.

Vì vậy, mỗi khi bạn nhập một domain vào trình duyệt, DNS sẽ chuyển đổi nó thành dữ liệu mà máy tính có thể đọc được. Máy chủ DNS được truy vấn và lưu lượng truy cập DNS được gửi đi. Nhưng bạn có biết ai khác có thể xem thông tin DNS của mình không? Đúng vậy! Về cơ bản là bất kỳ ai, bao gồm cả nhà cung cấp dịch vụ Internet của bạn, chính phủ và bất kỳ cơ quan nào khác muốn tìm hiểu dữ liệu của bạn.

Tin tốt là bạn có thể mã hóa các yêu cầu DNS đó để ngăn những con mắt tò mò nhìn thấy các trang web và dịch vụ bạn đang sử dụng. Tin xấu là việc này không đơn giản chỉ là bật công tắc và tất cả các yêu cầu DNS của bạn được bảo vệ. Mặc dù một số phương pháp bảo vệ bạn khỏi ISP, nhưng những phương pháp khác vẫn để lộ siêu dữ liệu và các kiểu sử dụng khiến việc tìm ra bạn là ai và ở đâu trở nên dễ dàng. Đây là lý do tại sao việc hiểu rõ sự khác biệt giữa các phương pháp mã hóa DNS lại quan trọng đến vậy! Nếu bạn cho rằng mã hóa đồng nghĩa với quyền riêng tư, dữ liệu của bạn sẽ rơi vào tay kẻ xấu.

Nhà cung cấp dịch vụ Internet (ISP) và giao thức DNS

ISP quan tâm đến giao thức DNS bạn sử dụng

Lưu lượng DNS là cách dễ nhất để ISP xác định trang web bạn truy cập. Khi bạn nhập tên miền vào trình duyệt, ngay cả khi bạn được bảo vệ bằng HTTPS, yêu cầu DNS tiếp theo có thể hiển thị trang web bạn đang cố gắng truy cập. Nó có thể không hiển thị các trang cụ thể trên trang web bạn đang truy cập, nhưng nhìn chung sẽ hiển thị domain bạn đang truy cập. ISP có thể sử dụng mức độ hiển thị này cho mục đích quản lý mạng. Nó cũng có thể là một nguồn doanh thu; Ủy ban Thương mại Liên bang đã báo cáo rằng các ISP chèn quảng cáo và kiếm tiền từ dữ liệu truy vấn DNS.

Các ISP sẽ khó tiếp tục mô hình kinh doanh này hơn nếu những truy vấn DNS của bạn được mã hóa. Bạn có thể sử dụng các giao thức như DNS over HTTPS (DoH) và DNS over TLS (DoT) để gây khó khăn cho ISP và bất kỳ ai không ở trên mạng trong việc xem tên miền bạn tra cứu. Điều này loại bỏ hoàn toàn nguồn doanh thu truyền thống của các ISP, đồng thời mang lại lợi ích về quyền riêng tư cho bạn, mặc dù nó chuyển niềm tin sang một bên thứ ba để giải quyết DoH/DoT (ví dụ: Cloudflare, Google).

Tuy nhiên, điều cần lưu ý là các nhà cung cấp dịch vụ Internet (ISP) cũng đóng vai trò quan trọng trong quản lý mạng, bao gồm việc thực thi kiểm soát của phụ huynh, chặn phần mềm độc hại và tuân thủ những quy định địa phương. Khi DNS được mã hóa, các tác vụ này trở nên khó thực hiện hơn nhiều đối với ISP vì nó vô hiệu hóa quyền kiểm soát toàn mạng mà ISP từng có đối với những chức năng dựa trên DNS.

Các giao thức chính

DoH, DoT so với ODoH

Mã hóa DNS không phải lúc nào cũng là một tiêu chuẩn thống nhất. Điều này có nghĩa là mỗi giao thức mã hóa DNS có thể áp dụng các cách hơi khác nhau để giải quyết vấn đề. DNS over HTTPS (DoH) và DNS over TLS (DoT) là các giao thức mã hóa phổ biến và được triển khai rộng rãi. Cả hai giao thức đều hướng đến việc mã hóa các truy vấn DNS để chúng không thể đọc được dưới dạng plain text, nhưng thiết kế và cách thức áp dụng của chúng dẫn đến việc mỗi giao thức mang lại trải nghiệm người dùng khác nhau.

DoH hòa nhập hoàn hảo với mọi lưu lượng truy cập của bạn vì nó chạy trên HTTPS. Các trình duyệt phổ biến như Google Chrome và Mozilla Firefox có thể dễ dàng kích hoạt trực tiếp, và các mạng không thể dễ dàng chặn lưu lượng truy cập này mà không làm gián đoạn mọi thứ. DoT thì khá khác biệt. Nó thường được triển khai ở cấp hệ thống hoặc router và chạy trên một cổng chuyên dụng (853) sử dụng TCP với mã hóa TLS. Nó giống một dịch vụ ở cấp độ mạng hơn, nhưng tường lửa hoặc ISP có thể chặn nó dễ dàng hơn nếu cần.

Tuy nhiên, có một giao thức mã hóa mới hơn: Oblivious DoH (ODoH). Trong khi DoH và DoT giải quyết vấn đề mã hóa các truy vấn DNS để chúng không thể đọc được dưới dạng văn bản gốc, ODoH hướng đến việc xây dựng lòng tin vào chính máy chủ phân giải. Nếu bạn sử dụng DoH hoặc DoT, máy chủ phân giải bạn chọn sẽ thấy địa chỉ IP của bạn, từ đó có thể xác định vị trí/nhà cung cấp dịch vụ Internet/mạng gia đình. Tuy nhiên, ODoH bao gồm một máy chủ proxy bổ sung để không một bên nào có thể nhìn thấy cả địa chỉ IP và các truy vấn domain của bạn. Đây vẫn là một tiêu chuẩn thử nghiệm của IETF và làm tăng thêm độ trễ do máy chủ proxy và mã hóa kép. Chi phí phát sinh này có thể là tối thiểu so với các phương pháp mã hóa DNS khác, nhưng ODoH vẫn chưa được áp dụng rộng rãi.

Tất cả các giao thức này đều cung cấp một số hình thức bảo vệ, nhưng việc lựa chọn giao thức này hay giao thức kia cuối cùng đồng nghĩa với việc phải lựa chọn giữa tính dễ triển khai, nơi bạn có thể tin tưởng và khả năng chống kiểm duyệt.

Vấn đề trung gian

Mã hóa vẫn có thể khiến bạn bị lộ

DNS được mã hóa không khiến bạn hoàn toàn ẩn mình trực tuyến. Các giao thức khác nhau có thể khiến bất kỳ bên nào bên ngoài mạng khó đọc được truy vấn của bạn, nhưng trình phân giải vẫn có thể thấy tên miền đã truy cập và địa chỉ IP của bạn. Vì vậy, bạn phải đánh đổi khả năng hiển thị của ISP để lấy khả năng hiển thị trên một trình phân giải công cộng lớn.

Các mẫu lưu lượng truy cập của bạn cũng có thể làm rò rỉ siêu dữ liệu. Ngay cả khi nội dung dữ liệu được mã hóa, các yếu tố như thời gian, tần suất và kích thước gói tin vẫn có thể được phân tích để suy ra thói quen duyệt web. Trong một số trường hợp, lưu lượng truy cập này có thể được sử dụng để gợi ý các domain bạn truy cập mà không cần giải mã những yêu cầu.

Ngoài ra, số lượng nhà cung cấp hạn chế đặt ra vấn đề về tập trung hóa, đặc biệt là vì phần lớn lưu lượng DNS mã hóa được định tuyến qua các tùy chọn hạn chế này. Mặc dù các công ty này xây dựng các biện pháp bảo vệ mạnh mẽ, nhưng một trát đòi hầu tòa, vi phạm dữ liệu hoặc chính sách quản lý duy nhất có thể làm lộ hoạt động của người dùng.

Đưa ra quyết định sáng suốt nhất

Bạn có thể xây dựng một DNS cục bộ, nhưng để bảo mật thông tin, DNS mã hóa là giải pháp tốt hơn. Tuy nhiên, bất kỳ lựa chọn nào bạn chọn cũng đều có những đánh đổi: ODoH vẫn đang trong giai đoạn thử nghiệm và có thể gây ra độ trễ, nhưng nó làm giảm sự tập trung tin cậy, trong khi DoH và DoT chuyển sự tin cậy từ nhà cung cấp dịch vụ Internet của bạn sang một bên thứ ba.

Bạn có thể chọn bất kỳ tùy chọn nào mình muốn, nhưng điểm mấu chốt là chúng không hoàn toàn giống nhau. Và trong tất cả những điều này, quyền riêng tư thường phụ thuộc vào cơ sở hạ tầng tập trung, chính sách của doanh nghiệp và khung pháp lý. Khả năng chúng ta có thể thay đổi điều này có thể bị hạn chế, nhưng kiến ​​thức đó sẽ giúp bạn hiểu được mức độ kiểm soát nằm trong tay mình, và điều này cuối cùng sẽ giúp bạn đưa ra quyết định sáng suốt nhất về việc bạn chọn tin tưởng vào điều gì hoặc ai.