DNSSEC הופך את השאלה שאין לה תשובה — "מי שלח את זה?" — לשאלה שניתן לאמת: מי ערב לך? כך רזולברים מאמתים את השרשרת מהשורש ועד הרשומה.
DNS over TLS מצפין את החיפושים שלך כך שספק האינטרנט לא יוכל לראות אילו אתרים אתה מבקר — אבל שרת הפתרון שבחרת רואה הכל. אינך מבטל את המעקב. אתה בוחר מי יעקוב אחריך.
תוקפים שולחים שאילתות DNS זעירות כלחישה שמעוררות תשובות ענקיות כצעקה — כשהן מכוונות לקורבנות שמעולם לא ביקשו. כמה מאות דולרים לשכירת בוטנט הופכים לטרה-ביטים של תנועה שמישהו אחר נדרש לספוג.
שאילתות DNS חושפות כל אתר שאתה מבקר, וכבר מאז שנות ה-80 הן עוברות ברשת ללא כל הצפנה. DoH סוף סוף מוסיף הצפנה — אבל הוא לא מבטל מעקב, הוא מאפשר לך לבחור מי יעקוב אחריך.
ל-DNS אין דרך להוכיח שתגובה היא אמיתית. DNSSEC מוסיף חתימות קריפטוגרפיות שמאפשרות לרזולברים לוודא שתשובות אכן הגיעו ממי שהן טוענות שהגיעו ממנו — אימות לפרוטוקול שנבנה על הנחת אמון.
הרעלת מטמון DNS מנצלת אמת אכזרית: רזולברים מאמינים למי שעונה ראשון. כיצד תוקפים מתחרים להזריק שקרים למטמוני DNS, מדוע מתקפת קמינסקי הפעילה את תיקון האבטחה המתואם הגדול ביותר בהיסטוריה של האינטרנט, ומה DNSSEC מאפשר סוף סוף.
חטיפת DNS הופכת את ההרגל הביטחוני המהימן ביותר שלך — בדיקת שורת הכתובת — לנשק נגדך. הכתובת נראית נכונה. ייתכן שאפילו תראה את סמל המנעול. אבל אתה מדבר עם מתחזה.
האם דף זה היה מועיל?