Распрацоўнікі Firefox
Пасля актывацыі DoH карыстачу выводзіцца папярэджанне, якое дазваляе пры жаданні адмовіцца ад звароту да цэнтралізаваных DoH-серверам DNS і вярнуцца да традыцыйнай схемы адпраўкі незашыфраваных запытаў да DNS-серверу правайдэра. Замест размеркаванай інфраструктуры рэзавераў DNS, у DoH скарыстана прывязка да вызначанага DoH-сэрвісу, які можа разглядацца як адзіная кропка адмовы. У цяперашні час прапануецца праца праз два DNS-правайдэра – CloudFlare (па змаўчанні) і
Змяніць правайдэра або адключыць DoH
Нагадаем, што DoH можа апынуцца карысным для выключэння ўцечак звестак аб запытаных імёнах хастоў праз DNS-серверы правайдэраў, барацьбы з MITM-атакамі і падменай DNS-трафіку (напрыклад, пры падлучэнні да публічных Wi-Fi), супрацьстаяння блакаванням на ўзроўні DNS (DoH не можа замяніць VPN у вобласці абыходу блакіровак, рэалізаваных на ўзроўні DPI) або для арганізацыі працы ў выпадку немагчымасці прамога звароту да DNS-серверам (напрыклад, пры працы праз проксі). Калі ў звычайнай сітуацыі DNS-запыты напроста адпраўляюцца на вызначаныя ў канфігурацыі сістэмы DNS-серверы, то ў выпадку DoH запыт на вызначэнне IP-адрасы хаста інкапсулюецца ў трафік HTTPS і адпраўляецца на HTTP-сервер, на якім рэзалвер апрацоўвае запыты праз Web API. Існуючы стандарт DNSSEC выкарыстоўвае шыфраванне толькі для аўтэнтыфікацыі кліента і сервера, але не абараняе трафік ад перахопу і не гарантуе канфідэнцыйнасць запытаў.
Для адбору прапанаваных у Firefox правайдэраў DoH сфармуляваны
Ужываць DoH варта з асцярожнасцю. Напрыклад, у РФ IP-адрасы 104.16.248.249 і 104.16.249.249, злучаныя з прапанаваным па змаўчанні ў Firefox DoH-серверам mozilla.cloudflare-dns.com,
Ужыванне DoH таксама можа прывесці да праблем у такіх галінах, як сістэмы бацькоўскага кантролю, доступ да ўнутраных прастор імёнаў у карпаратыўных сістэмах, выбар маршрутаў у сістэмах аптымізацыі дастаўкі кантэнту і выкананне судовых прадпісанняў у вобласці процідзеяння распаўсюджванню нелегальнага кантэнту і эксплуатацыі непаўналетніх. Для абыходу падобных праблем рэалізавана і пратэставаная сістэма праверак, якія аўтаматычна адключаюць DoH пры пэўных умовах.
Для вызначэння карпаратыўных рэзавераў выконваюцца праверкі нетыповых даменаў першага ўзроўня (TLD) і вяртанне сістэмным рэзалверам інтранэт-адрасоў. Для вызначэння ўключэння бацькоўскага кантролю ажыццяўляецца спроба рэзалвінгу імя exampleadultsite.com і калі вынік не супадае з фактычным IP, лічыцца, што актыўная блакіроўка дарослага кантэнту на ўзроўні DNS. У якасці прыкмет таксама правяраюцца IP-адрасы Google і YouTube на прадмет іх падмены на restrict.youtube.com, forcesafesearch.google.com і restrictmoderate.youtube.com. Дадзеныя праверкі даюць магчымасць атакавалым, кантралявалым працу рэзалвера ці здольным умяшацца ў трафік, сімуляваць падобныя паводзіны для адключэння шыфравання DNS-трафіку.
Праца праз адзіны DoH-сэрвіс таксама патэнцыйна можа прывесці да праблем з аптымізацыяй трафіку ў сетках дастаўкі кантэнту, якія выконваюць балансаванне трафіку з выкарыстаннем DNS (DNS-сервер CDN-сеткі фармуе адказ, улічваючы адрас рэзалвера і выдае бліжэйшы хост для атрымання кантэнту). Адпраўка DNS-запыту з найблізкага да карыстача рэзаверу ў такіх CDN прыводзіць да звароту адрасу найблізкага да карыстача хаста, але пры адпраўцы DNS-запыту з цэнтралізаванага рэзаверу будзе выдадзены адрас хаста, найблізкі да сервера DNS-over-HTTPS. Тэставанне на практыку паказала, што ўжыванне DNS-over-HTTP пры выкарыстанні CDN практычна не прыводзіла да затрымак перад пачаткам перадачы кантэнту (для хуткіх злучэнняў затрымкі не перавышалі 10 мілісекунд, а на павольных каналах сувязі назіралася нават паскарэнне працы). Для перадачы рэзалверу CDN звесткі аб месцазнаходжанні кліента таксама было разгледжана ўжыванне пашырэння EDNS Client Subnet.
Крыніца: opennet.ru