Firefox-ontwikkelaars oor die voltooiing van toetsondersteuning vir DNS oor HTTPS (DoH, DNS oor HTTPS) en die voorneme om hierdie tegnologie by verstek vir Amerikaanse gebruikers aan die einde van September moontlik te maak. Die insluiting sal geleidelik uitgevoer word, aanvanklik vir 'n paar persent van die gebruikers, en in die afwesigheid van probleme, geleidelik toeneem tot 100%. Nadat die VSA gedek is, sal die moontlikheid om DoH in ander lande in te sluit, oorweeg word.
Toetse wat deur die jaar uitgevoer is, het die betroubaarheid en goeie werkverrigting van die diens getoon, en het dit ook moontlik gemaak om sommige situasies te identifiseer waar DoH tot probleme kan lei en oplossings te ontwikkel om dit te omseil (byvoorbeeld, afgetakel met verkeersoptimalisering in inhoudafleweringsnetwerke, ouerbeheer en korporatiewe interne DNS-sones).
Die belangrikheid van DNS-verkeersenkripsie word beskou as 'n fundamenteel belangrike faktor in die beskerming van gebruikers, daarom is besluit om DoH by verstek te aktiveer, maar in die eerste stadium slegs vir gebruikers uit die Verenigde State. Nadat DoH geaktiveer is, sal 'n waarskuwing aan die gebruiker vertoon word, wat sal toelaat om, indien verlang, toegang tot gesentraliseerde DoH DNS-bedieners te weier en terug te keer na die tradisionele skema om ongeënkripteerde navrae na die verskaffer se DNS-bediener te stuur (in plaas van 'n verspreide infrastruktuur van DNS-oplossers, DoH gebruik binding aan 'n spesifieke DoH-diens, wat as 'n enkele punt van mislukking beskou kan word).
Wanneer DoH geaktiveer word, kan ouerbeheerstelsels en korporatiewe netwerke wat die interne netwerk-alleen DNS-naamstruktuur gebruik vir die oplos van intranetadresse en korporatiewe gashere ontwrig word. Om probleme met sulke stelsels op te los, is 'n stelsel van tjeks bygevoeg wat DoH outomaties deaktiveer. Kontroles word uitgevoer elke keer as die blaaier geloods word of wanneer 'n subnetverandering bespeur word.
Outomatiese terugkeer na gebruik van die standaardoplosser van die bedryfstelsel word ook verskaf in die geval van mislukkings tydens die oplossing via DoH (byvoorbeeld in die geval van netwerkbeskikbaarheidskending met die DoH-verskaffer of mislukkings in sy infrastruktuur). Die betekenis van sulke kontroles is twyfelagtig, aangesien niemand verhoed dat aanvallers wat die werking van die resolver beheer of met verkeer kan inmeng om sulke gedrag te simuleer om enkripsie van DNS-verkeer uit te skakel nie. Die probleem word opgelos deur die item "DoH altyd" (verstek is nie aktief nie) by die instellings by te voeg, wanneer dit gestel is, word outomatiese afskakeling nie toegepas nie, wat 'n redelike kompromie is.
Om ondernemingsresoleerders te identifiseer, word nagegaan vir atipiese eerstevlakdomeine (TLD's) en die stelseloplosser gee intranetadresse terug. Om te bepaal of ouerkontroles geaktiveer is, word 'n poging aangewend om die naam exampleadultsite.com op te los en as die resultaat nie ooreenstem met die werklike IP nie, word dit beskou dat die blokkering van volwasse inhoud aktief is op die DNS-vlak. Google- en YouTube-IP-adresse word ook as aanwysers nagegaan om te sien of hulle as restrict.youtube.com, forcesafesearch.google.com en restrictmoderate.youtube.com bedrieg is. Meer Mozilla implementeer 'n enkele toetsgasheer , wat deur ISP's en ouerbeheerdienste as 'n vlag gebruik kan word om DoH te deaktiveer (as die gasheer nie gevind word nie, deaktiveer Firefox DoH).
Werk deur 'n enkele DoH-diens kan moontlik ook lei tot probleme met verkeersoptimalisering in inhoudafleweringsnetwerke wat verkeersbalansering met DNS uitvoer (die DNS-bediener van die CDN-netwerk genereer 'n reaksie, met inagneming van die adres van die oplosser en reik die naaste gasheer uit inhoud te ontvang). Die stuur van 'n DNS-navraag vanaf die resolver naaste aan die gebruiker in sulke CDN's, gee die adres van die gasheer naaste aan die gebruiker terug, maar die stuur van 'n DNS-navraag vanaf die gesentraliseerde oplosser sal die gasheeradres naaste aan die DNS-oor-HTTPS-bediener terugstuur. Toetse in die praktyk het getoon dat die gebruik van DNS-oor-HTTP by die gebruik van 'n CDN feitlik nie gelei het tot vertragings voor die begin van inhoudoordrag nie (vir vinnige verbindings het vertragings nie meer as 10 millisekondes oorskry nie, en selfs versnelling is waargeneem op stadige kommunikasiekanale ). Ons het dit ook oorweeg om die EDNS-kliënt-subnet-uitbreiding te gebruik om die kliëntligginginligting aan die CDN-oplosser deur te gee.
Onthou dat DoH nuttig kan wees om lekkasies van inligting oor die gevraagde gasheername deur die DNS-bedieners van verskaffers te voorkom, om MITM-aanvalle en DNS-verkeerspoofing te bekamp, om blokkering op die DNS-vlak te weerstaan, of om werk te organiseer in geval van onmoontlikheid van direkte toegang tot DNS-bedieners (byvoorbeeld wanneer jy deur 'n instaanbediener werk). Terwyl DNS-versoeke in 'n normale situasie direk na die DNS-bedieners gestuur word wat in die stelselkonfigurasie gedefinieer word, word in die geval van DoH die versoek om die gasheer-IP-adres te bepaal in HTTPS-verkeer ingekapsuleer en na die HTTP-bediener gestuur, waarop die oplosser verwerk versoeke deur die Web API. Die huidige DNSSEC-standaard gebruik enkripsie slegs om die kliënt en bediener te verifieer, maar beskerm nie verkeer teen onderskepping nie en waarborg nie die vertroulikheid van versoeke nie.
Om DoH in about:config te aktiveer, verander die waarde van die network.trr.mode veranderlike, wat sedert Firefox 60 ondersteun word. 'n Waarde van 0 deaktiveer DoH heeltemal; 1 - DNS of DoH word gebruik, wat ook al die vinnigste is; 2 - DoH word by verstek gebruik, en DNS word as 'n terugval gebruik; 3 - slegs DoH word gebruik; 4 - spieëlmodus waarin DoH en DNS parallel gebruik word. CloudFlare se DNS-bediener word by verstek gebruik, maar dit kan verander word via die netwerk.trr.uri-parameter, byvoorbeeld, jy kan "https://dns.google.com/experimental" of "https://9.9.9.9 stel" /dns-navraag ".
Bron: opennet.ru