HTTPS DNS RR (ed i rischi dei collegamenti HTTP)

Chi genera traffico con un iPhone o un Mac probabilmente osserverà in Wireshark delle richieste DNS di un tipo mai discusso a lezione: "HTTPS" (quindi, non A, MX, CNAME...).

E' un DNS RR type che è stato introdotto di recente e non molto supportato, almeno non ancora. Pochi servizi definiscono RR con questro tipo, pochi client inviano richieste per questo tipo (iPhone e Mac le inviano).

L'idea di base è questa: un client che richiede "Name A ?" può richiedere anche "Name HTTPS ?". Se riceve un RR di risposta "Name HTTPS qualcosa", allora il client può evitare di collegarsi a Name con HTTP e può collegarsi direttamente con HTTPS.

E' una ulteriore tecnica per difendersi dai potenziali attacchi sui collegamenti HTTP (il fatto che siano state proposte così tante tecniche implica che 1) il problema è reale e 2) non c'è ancora una soluzione ubiqua e pienamente soddisfacente).

Il valore "qualcosa" può inoltre contenere informazioni potenzialmente utili per il client, principalmente come ottimizzazione di prestazioni.

Una ottima descrizione, non breve e non semplice, è qui:

Speeding up HTTPS and HTTP/3 negotiation with... DNS

https://blog.cloudflare.com/speeding-up-https-and-http-3-negotiation-with-dns/

 (Cloudflare è una azienda che fornisce vari servizi, tra i quali "content distribution networks", "denial of service protection" e altro; il suo blog è una fonte di informazioni tecnologiche eccellente).