만화로 보는 DNS over HTTPS (DoH) 소개

Source

• Evernote/Inbox/만화로 보는 DNS over HTTPS ★ Mozilla 웹 기술 블로그.md

Summary

Mozilla 는 사용자 프라이버시 보호를 위해 기존 DNS 의 보안 취약점(감청, 조작 가능성)을 해결하기 위해 DNS over HTTPS(DoH) 와 Trusted Recursive Resolver(TRR) 를 도입한다. 기존 HTTP 는 중간 경로의 감청과 조작에 취약하며, HTTPS 도 초기 연결 단계(SNI) 와 DNS 조회 과정에서 도메인 정보가 평문으로 노출될 수 있다. DoH 는 DNS 조회 트래픽을 HTTPS 로 암호화하여 이러한 노출을 방지한다.

Key Points

• Mozilla 는 추적 금지 기능에 이어 DoH 와 TRR(Cloudflare 협력) 을 통해 35 년 된 DNS 시스템의 데이터 노출 문제를 해결하려 한다.
• 기존 HTTP 통신은 중간 라우터에 의해 감청되거나 응답이 조작될 수 있는 취약점이 있다.
• HTTPS 는 통신 내용을 암호화하지만, 초기 연결 요청의 SNI(Server Name Indication) 필드와 DNS 조회 과정은 여전히 암호화되지 않아 도메인 방문 기록이 노출될 수 있다.
• DNS 는 도메인 이름을 IP 주소로 변환하는 시스템으로, 분산된 목록을 통해 관리된다.
• DoH 는 DNS 조회 요청 자체를 HTTPS 프로토콜을 통해 암호화하여 제 3 자의 감청을 차단한다.

Related

• Tor (The Onion Router)

• HTTPS 개요 및 TLS 핸드셰이크 프로토콜

• WebRTC 브라우저 간 보안 보장

• 3가 UDP(QUIC)를 선택한 이유

• 브라우저 기반 사후 멀웨어 보호 (Browser Based Retroactive Malware Protection)

• A Proxy View of Quality of Domain Name Service, Poisoning Attacks and Survival Strategies

• CSRF)

• Developers don’t understand CORS

• 웹사이트의 미래 호환성 유지 가이드 (MDN)

• S-links: 분산 보안 정책과 안전한 소개(Secure Introduction)

• TLS Forward Secrecy Deployments

• 브라우저 캐시를 통한 지리적 추론 공격 (Geo-Inference Attacks via Browser Cache)

• 웹 애플리케이션 서버 측 보안 접근 방식에 대한 조사

• XSS(Cross Site Scripting) 취약점 개요 및 시리즈 소개

• 스마트 잠금 장치의 보안성: 안전할까, 아니면 어리석을까?

• SSL 의 6 가지 주요 보안 약점 (2014 년 기준)

• WebRTC 보안 아키텍처와 호환되지 않는 신원 프로토콜의 적응 방안

• 웹 기반 실시간 통신 보안 (WebRTC)

• Rogue Femtocell Owners: How Mallory Can Monitor My Devices

• 웹 서비스의 테스트 기반 보안 인증 체계

• 웹 단일 로그인(SSO) 사용자 인식 및 수용 모델 연구

• HTTP 프로토콜 핵심 개념: 연결, 인증 및 캐싱 (Part 2)

• HTTPS 관련 7가지 오해 (HttpWatch Blog)

• DDoS 공격 시각화: VideoLAN 사례

• HTTP 프로토콜 기초 (Part 1)

• Web Directions Code: REST에 대해 모든 개발자가 알아야 할 사항

• Chromecast 의 설계상 보안 한계

• Kurento WebRTC PaaS의 인증, 인가 및 회계 보안 모델 분석

• 나쁜 인증 시도 방어하기 (1 편)

• Brute-Force Attacks Explained: How All Encryption is Vulnerable

• Authentication at Scale

• 3: TCP 대신 UDP(QUIC)를 사용하여 네트워크 성능 및 신뢰성 향상

• 미국 침입자 사살 허용설 반박

• WebRTC 인프라: STUN, TURN 및 시그널링

• WebRTC 서비스의 사용자 신원 및 신뢰 문제

• 3가 UDP(QUIC)를 선택한 이유

• 브라우저 간 P2P 연결 (WebRTC)

• BitTorrent, 분산형 채팅 클라이언트 ‘BitTorrent Chat’ 공개

• 후지쯔, UDP 기반 고속 전송 프로토콜 개발

• 청각 불가청음을 이용한 에어갭 점프 멀웨어

• uIP (micro IP)

• Cube Slam: WebRTC 기반 실시간 브라우저 게임

• 드라이브 바이 다운로드 공격 기법 및 사례 분석

• RFC 7413: TCP Fast Open (TFO)

• 2015 년 최악의 비밀번호 목록 및 보안 권고사항

• WebRTC의 패킷 손실 처리 메커니즘

• 웹 서비스 회귀 테스트에 대한 체계적 매핑 연구 (2014)

• CAMP: Content-Agnostic Malware Protection

• BitTorrent Bleep: P2P 암호화 메신저

• 안드로이드 크롬의 WebRTC 지원 (2013)

• Adobe Primetime 플랫폼 업데이트 및 터너 브로드캐스팅 계약

• WebRTC DataChannel 구현, API 변경 및 크롬-파이어폭스 상호운용성

• 스카이프, 웹 기반 통화 시장에 진출 (2013)

• Tick Tock: 타이밍 사이드 채널을 이용한 브라우저 레드 필 구축

• NIST SP 800-63 디지털 신원 가이드라인 (2017)

• HTTP 기반 애플리케이션 방화벽 정책 분석

• FireChat: 인터넷 없이 작동하는 P2P 채팅 앱

• 웹 기반 멀웨어 분석 및 방어 연구 동향

• 2013년 한국 대상 대규모 제로데이 공격 분석 (IE & Java)

• Digital Forensics with Open Source Tools (도서 소개)

• Libplanet 0.2 릴리스 주요 변경 사항

• 비트토런트 챗 (BitTorrent Chat) 개요

• 일베 게시글: 해킹툴 판매자 신고 가이드 (2013)

• 실용적인 HTTP Host 헤더 공격

• 3: UDP 기반 전송 프로토콜의 등장 배경

• IoT 환경 리눅스 OS 대상 웜 ‘리눅스 달로즈’ 분석

• 모바일 DDoS 공격의 현실화와 ‘좀비스마트폰’ 위협

• WebKit의 웹표준 구현 현황 (2011)

• 타자 패턴 기반 사용자 인증 스마트 키보드

• 3 Top IoT “security” Architectures and How to Fix Them

• Firefox OS 한국어 지원 현황 및 로드맵 (2013)