Firefox-ontwikkelaars oor die aktivering van DNS oor HTTPS (DoH, DNS oor HTTPS)-modus by verstek vir Amerikaanse gebruikers. Enkripsie van DNS-verkeer word beskou as 'n fundamenteel belangrike faktor in die beskerming van gebruikers. Vanaf vandag sal alle nuwe installasies deur Amerikaanse gebruikers DoH by verstek geaktiveer hê. Bestaande Amerikaanse gebruikers sal binne 'n paar weke na DoH oorgeskakel word. In die Europese Unie en ander lande, aktiveer DoH by verstek vir nou .
Nadat DoH geaktiveer is, word 'n waarskuwing aan die gebruiker vertoon, wat dit moontlik maak om, indien verlang, te weier om gesentraliseerde DoH DNS-bedieners te kontak en terug te keer na die tradisionele skema om ongeënkripteerde navrae na die verskaffer se DNS-bediener te stuur. In plaas van 'n verspreide infrastruktuur van DNS-resolvers, gebruik DoH 'n binding aan 'n spesifieke DoH-diens, wat as 'n enkele punt van mislukking beskou kan word. Tans word werk aangebied deur twee DNS-verskaffers - CloudFlare (verstek) en .
Verander verskaffer of deaktiveer DoH in die netwerkverbindinginstellings. Byvoorbeeld, jy kan 'n alternatiewe DoH-bediener "https://dns.google/dns-query" spesifiseer om toegang tot Google-bedieners te kry, "https://dns.quad9.net/dns-query" - Quad9 en "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config verskaf ook die netwerk.trr.mode-instelling, waardeur jy die DoH-bedryfsmodus kan verander: 'n waarde van 0 deaktiveer DoH heeltemal; 1 - DNS of DoH word gebruik, wat ook al die vinnigste is; 2 - DoH word by verstek gebruik, en DNS word as 'n terugvalopsie gebruik; 3 - slegs DoH word gebruik; 4 - spieëlmodus waarin DoH en DNS parallel gebruik word.
Onthou dat DoH nuttig kan wees om lekkasies van inligting oor versoekte gasheername deur die DNS-bedieners van verskaffers te voorkom, MITM-aanvalle en DNS-verkeerspoofing te bekamp (byvoorbeeld wanneer u aan openbare Wi-Fi koppel), blokkering op die DNS-vlak teenwerk (DoH) kan nie VPN vervang op die gebied van blokkering wat op DPI-vlak geïmplementeer is omseil nie) of om werk te organiseer in geval dit onmoontlik is om direk toegang tot DNS-bedieners te verkry (byvoorbeeld wanneer u deur 'n instaanbediener werk). Terwyl DNS-versoeke normaalweg direk na die DNS-bedieners gestuur word wat in die stelselkonfigurasie gedefinieer word, in die geval van DoH, word die versoek om die gasheer-IP-adres te bepaal in HTTPS-verkeer ingekapsuleer en na die HTTP-bediener gestuur, waarop die oplosser versoeke verwerk via die Web API. Die huidige DNSSEC-standaard gebruik enkripsie slegs om die kliënt en bediener te verifieer, maar beskerm nie verkeer teen onderskepping nie en waarborg nie die vertroulikheid van versoeke nie.
Om die DoH-verskaffers te kies wat in Firefox aangebied word, aan betroubare DNS-resoleerders, waarvolgens die DNS-operateur die data wat ontvang word vir resolusie slegs kan gebruik om die werking van die diens te verseker, nie logs vir meer as 24 uur mag stoor nie, nie data aan derde partye kan oordra nie en verplig is om inligting oor dataverwerkingsmetodes. Die diens moet ook instem om nie DNS-verkeer te sensor, filter, inmeng of blokkeer nie, behalwe in situasies wat deur wetgewing voorsien word.
DoH moet met omsigtigheid gebruik word. Byvoorbeeld, in die Russiese Federasie, IP-adresse 104.16.248.249 en 104.16.249.249 wat verband hou met die verstek DoH-bediener mozilla.cloudflare-dns.com wat in Firefox aangebied word, в op versoek van die Stavropol-hof gedateer 10.06.2013.
DoH kan ook probleme veroorsaak op gebiede soos ouerlike beheerstelsels, toegang tot interne naamruimtes in korporatiewe stelsels, roetekeuse in inhoudafleweringsoptimeringstelsels, en nakoming van hofbevele op die gebied van die bekamping van die verspreiding van onwettige inhoud en die uitbuiting van minderjariges. Om sulke probleme te omseil, is 'n kontrolestelsel geïmplementeer en getoets wat DoH outomaties deaktiveer onder sekere omstandighede.
Om ondernemingsresoleerders te identifiseer, word atipiese eerstevlakdomeine (TLD's) nagegaan en die stelseloplosser gee intranetadresse terug. Om te bepaal of ouerkontroles geaktiveer is, word 'n poging aangewend om die naam exampleadultsite.com op te los en as die resultaat nie ooreenstem met die werklike IP nie, word dit beskou dat die blokkering van volwasse inhoud aktief is op die DNS-vlak. Google en YouTube IP-adresse word ook nagegaan as tekens om te sien of hulle vervang is deur restrict.youtube.com, forcesafesearch.google.com en restrictmoderate.youtube.com. Hierdie kontroles laat aanvallers wat die werking van die resolver beheer of in staat is om met verkeer in te meng, sulke gedrag te simuleer om enkripsie van DNS-verkeer te deaktiveer.
Werk deur 'n enkele DoH-diens kan moontlik ook lei tot probleme met verkeersoptimalisering in inhoudafleweringsnetwerke wat verkeersbalansering met DNS uitvoer (die DNS-bediener van die CDN-netwerk genereer 'n reaksie, met inagneming van die adres van die oplosser en reik die naaste gasheer uit inhoud te ontvang). Die stuur van 'n DNS-navraag vanaf die resolver naaste aan die gebruiker in sulke CDN's, gee die adres van die gasheer naaste aan die gebruiker terug, maar die stuur van 'n DNS-navraag vanaf die gesentraliseerde oplosser sal die gasheeradres naaste aan die DNS-oor-HTTPS-bediener terugstuur. Toetse in die praktyk het getoon dat die gebruik van DNS-oor-HTTP by die gebruik van 'n CDN feitlik nie gelei het tot vertragings voor die begin van inhoudoordrag nie (vir vinnige verbindings het vertragings nie meer as 10 millisekondes oorskry nie, en selfs versnelling is waargeneem op stadige kommunikasiekanale ). Ons het dit ook oorweeg om die EDNS-kliënt-subnet-uitbreiding te gebruik om die kliëntligginginligting aan die CDN-oplosser deur te gee.
Bron: opennet.ru