เมื่อไม่นานนี้ทาง Google และ Mozilla ต่างออกมาสนับสนุนและรองรับการใช้งาน DNS-over-HTTPS (DoH) แถมยังคุยว่าจะช่วยเรื่อง Privacy ในการใช้งาน อย่างไรก็ตามวันนี้เริ่มมีผู้เชี่ยวชาญจากหลายองค์กรได้ออกมาแสดงความคิดเห็นและจัดทำรายงานถึงความกังวลว่า DoH อาจก่อปัญหามากว่าประโยชน์ที่ได้รับ โดยเฉพาะกับการใช้งานระดับองค์กร
ประเด็นหลักที่ผู้เชี่ยวชาญไม่เห็นด้วยกับการโฆษณาและความสามารถจริงๆ ของ DoH สามารถสรุปได้ 3 ข้อดังนี้
1.ไม่สามารถติดตามการใช้งานได้ (Privacy)
Privacy คือหัวใจของการโปรโมต DoH จากทั้ง Mozilla และ Google ว่าผู้ใช้งานจะไม่ถูก ISP หรือ Censorship ติดตามได้ ทางผู้เชี่ยวชาญชี้ว่าเป็นการโฆษณาเกินจริง โดยมีเหตุผลสนับสนุนดังนี้
- อันที่จริงแล้วการใช้งาน Internet ประกอบไปด้วยองค์ประกอบและโปรโตคอลหลายส่วน ซึ่งถ้าเอาเข้าจริง ISP ก็สามารถติดตามการใช้งานของผู้ใช้ได้อยู่ดี เช่น หากผู้ใช้เข้าเว็บด้วย HTTP การใช้งาน DoH ก็ไม่เกิดประโยชน์ หรือ HTTPS ไม่ได้เข้ารหัสทุกองค์ประกอบอย่าง SNI Fields หรือ OCSP Connection
- ISP รู้เส้นทางของทราฟฟิคอยู่แล้วว่าเรากำลังทำการเชื่อมต่อกับ IP ปลายทางอะไรจึงไร นอกจากนี้ยังมีรายงานจาก APNIC ว่าสามารถใช้ IP เพื่อดูว่ากำลังใช้เว็บไซต์อะไรได้อย่างแม่นยำถึง 95%
- APNIC ยังชี้ว่า DoH กระทบต่อ DNS Ecosystem เนื่องจากการตอบสนองฝั่ง DNS Server ต้องมี DoH Resolver ด้วย ซึ่งเครือข่ายของ DNS ปกติไม่ได้รองรับ ทำให้ DoH ใช้งานได้ไม่เทียบเท่ากับระบบ DNS ปกติ แถมเมื่อ Metadata วิ่งผ่าน Third-party ก็สามารถถูก Log ข้อมูลได้อยู่ดี ซึ่ง APNIC เสริมว่า “การเข้ารหัส DNS เป็นไอเดียที่ดีเพียงแต่ถ้ากระทำโดยไม่ต้องข้องเกี่ยวกับ Third-party น่าจะดีกว่า“
ด้วยเหตุผลข้างต้นจึงยังสามารถแย้งคำโฆษณาได้อีกข้อหนึ่งว่า DoH จะแก้ไขปัญหาเรื่องการจำกัดการใช้งานในบางประเทศไม่ให้ถูกละเมิด Privacy
2.สร้างปัญหาแก่องค์กร
ผู้เชี่ยวชาญชี้ว่า DoH ยังก่อปัญหาร้ายแรงแก่องค์กรอย่างหลีกเลี่ยงไม่ได้คือ
- User สามารถลัดผ่านการตรวจสอบขององค์กรได้ที่อาจละเมิดนโยบายการใช้งาน
- องค์กรไม่สามารถป้องกันหรือตรวจจับการใช้งานได้เลยว่า DNS Request นั้นเป็นปกติ เกิดขึ้นจากมัลแวร์ ถูก Hijack ไปแล้วหรือไม่
- เนื่องจากการทำงานของ DoH ต้องมี Resolver บนฝั่งเซิร์ฟเวอร์ด้วย ดังนั้นแอปพลิเคชันที่รองรับ DoH มักจะ Hardcode ลิสต์ของเซิร์ฟเวอร์มาแล้ว ซึ่งหากมีแอปที่รองรับ DoH มากขึ้นก็จะยิ่งมีจำนวนของ DNS Server เพิ่มขึ้นให้ต้องจัดการเช่นกัน
3.ทำให้แนวป้องกันด้านความมั่นคงปลอดภัยอ่อนแอ
เมื่อผู้ใช้งานหันมาใช้ DoH บนบราวน์เซอร์จะทำให้โซลูชันที่อาศัยการตรวจจับ DNS แบบเดิมนั้นไร้ค่า โดยถึงขนาดว่า SANS Institute และศูนย์ความมั่นคงปลอดภัยของเนเธอแลนด์ยังได้ออกโรงมาชี้ว่า DoH จะสร้างปัญหาให้แนวตั้งรับแย่ลง
เช่นกันคนร้ายก็สามารถประยุกต์ใช้ DoH เพื่อผลประโยชน์ของตนได้ซึ่งมีเหตุการณ์ที่มัลแวร์ลอบใช้ประโยชน์จาก DoH บ้างแล้ว รวมถึงที่มีหลายฝ่ายออกมาแสดงความไม่พอใจต่อ Google และ Mozilla เช่น สร้างความเสี่ยงให้สังคมออนไลน์ของสหราชอาณาจักรฯ และเกิดประโยชน์ต่อการใช้งานเว็บด้านละเมิดทางเพศเด็กหรือเว็บไซต์ผิดกฏหมายอื่นๆ
อย่างไรก็ตามผู้เชี่ยวชาญชี้ว่ายังมีทางเลือกไปใช้ DNS over TLS (DoT) หรือหากต้องการด้าน Privacy จริงๆ ก็ควรใช้ DoT กับ VPN หรือ ToR ควบคู่กัน ทุกเทคโนโลยีย่อมมีผล 2 ด้านเสมอ ดังนั้นก็ลองชั่งน้ำหนักกันดูนะครับว่าเทคโนโลยีที่เกิดขึ้นสร้างประโยชน์คุ้มค่ากับผลลัพธ์หรือไม่
ที่มา : https://www.zdnet.com/article/dns-over-https-causes-more-problems-than-it-solves-experts-say/