Распрацоўнікі Firefox аб завяршэнні тэставання падтрымкі DNS па-над HTTPS (DoH, DNS over HTTPS) і намеры ў канцы верасня ўключыць дадзеную тэхналогію па змаўчанні для карыстальнікаў з ЗША. Уключэнне будзе рабіцца паступальна, спачатку для некалькіх адсоткаў карыстачоў, а ў выпадку адсутнасці праблем паступова даводзячы да 100%. Пасля ахопу ЗША будзе разгледжана магчымасць уключэння DoH і ў іншых краінах.
Тэсты, якія праводзяцца на працягу года, паказалі надзейнасць і добрую прадукцыйнасць сэрвісу, а таксама дазволілі выявіць некаторыя сітуацыі, калі DoH можа прыводзіць да праблем, і распрацаваць рашэнні для іх абыходу (напрыклад, разабраны. з аптымізацыяй трафіку ў сетках дастаўкі кантэнту, бацькоўскім кантролем і карпаратыўнымі ўнутранымі DNS-зонамі).
Важнасць шыфравання DNS-трафіка ацэньваецца як прынцыпова важны фактар абароны карыстачоў, таму DoH вырашанае ўлучыць па змаўчанні, але на першым этапе толькі для карыстачоў з ЗША. Пасля актывацыі DoH карыстачу будзе выведзена папярэджанне, якое дазволіць пры жаданні адмовіцца ад звароту да цэнтралізаваных DoH-сервераў DNS і вярнуцца да традыцыйнай схемы адпраўкі незашыфраваных запытаў да DNS-серверу правайдэра (замест размеркаванай інфраструктуры рэзавераў DNS, у DoH выкарыстаная прывязка , які можа разглядацца як адзіная кропка адмовы).
Пры актывацыі DoH магчыма парушэнне працы сістэм бацькоўскага кантролю і карпаратыўных сетак, якія выкарыстоўваюць даступную толькі для ўнутранай сеткі структуру імёнаў DNS для пераўтварэння інтранэт-адрасоў і карпаратыўных хастоў. Для рашэння праблем з падобнымі сістэмамі дададзена сістэма праверак, якія аўтаматычна адключаюць DoH. Праверкі выконваюцца пры кожным запуску браўзэра ці пры азначэнні змены падсеткі.
Аўтаматычны зварот на выкарыстанне штатнага рэзалвера аперацыйнай сістэмы таксама прадугледжаны пры ўзнікненні збояў пры рэзалвінгу праз DoH (напрыклад, пры парушэнні сеткавай даступнасці з правайдэрам DoH або ўзнікненні збояў у яго інфраструктуры). Сэнс падобных праверак сумніўны, бо ніхто не мяшае атакавалым, кантралявалым працу рэзолвера або здольным умяшацца ў трафік, сімуляваць падобныя паводзіны для адключэння шыфравання DNS-трафіку. Праблема вырашана даданнем у налады пункта "DoH always" (па маўчанні не актыўны), пры ўстаноўцы якога аўтаматычнае адключэнне не прымяняецца, што з'яўляецца разумным кампрамісам.
Для вызначэння карпаратыўных рэзавераў выконваюцца праверкі нетыповых даменаў першага ўзроўня (TLD) і вяртанне сістэмным рэзалверам інтранэт-адрасоў. Для вызначэння ўключэння бацькоўскага кантролю ажыццяўляецца спроба рэзалвінгу імя exampleadultsite.com і калі вынік не супадае з фактычным IP, лічыцца, што актыўная блакіроўка дарослага кантэнту на ўзроўні DNS. У якасці прыкмет таксама правяраюцца IP-адрасы Google і YouTube на прадмет іх падмены на restrict.youtube.com, forcesafesearch.google.com і restrictmoderate.youtube.com. Дадаткова Mozilla укараніць адзіны праверачны хост , Які могуць выкарыстоўваць інтэрнэт-правайдэры і сэрвісы бацькоўскага кантролю ў якасці пазнакі для адключэння DoH (калі хост не вызначаецца, Firefox адключае DoH).
Праца праз адзіны DoH-сэрвіс таксама патэнцыйна можа прывесці да праблем з аптымізацыяй трафіку ў сетках дастаўкі кантэнту, якія выконваюць балансаванне трафіку з выкарыстаннем DNS (DNS-сервер CDN-сеткі фармуе адказ, улічваючы адрас рэзалвера і выдае бліжэйшы хост для атрымання кантэнту). Адпраўка DNS-запыту з найблізкага да карыстача рэзаверу ў такіх CDN прыводзіць да звароту адрасу найблізкага да карыстача хаста, але пры адпраўцы DNS-запыту з цэнтралізаванага рэзаверу будзе выдадзены адрас хаста, найблізкі да сервера DNS-over-HTTPS. Тэставанне на практыку паказала, што ўжыванне DNS-over-HTTP пры выкарыстанні CDN практычна не прыводзіла да затрымак перад пачаткам перадачы кантэнту (для хуткіх злучэнняў затрымкі не перавышалі 10 мілісекунд, а на павольных каналах сувязі назіралася нават паскарэнне працы). Для перадачы рэзалверу CDN звесткі аб месцазнаходжанні кліента таксама было разгледжана ўжыванне пашырэння EDNS Client Subnet.
Нагадаем, што DoH можа апынуцца карысным для выключэння ўцечак звестак аб запытаных імёнах хастоў праз DNS-серверы правайдэраў, дужання з MITM-атакамі і падменай DNS-трафіку, супрацьстаянні блакаванням на ўзроўні DNS або для арганізацыі працы ў выпадку немагчымасці прамога звароту да DNS-серверам. (напрыклад, пры працы праз проксі). Калі ў звычайнай сітуацыі DNS-запыты напроста адпраўляюцца на вызначаныя ў канфігурацыі сістэмы DNS-серверы, то ў выпадку DoH запыт на вызначэнне IP-адрасы хаста інкапсулюецца ў трафік HTTPS і адпраўляецца на HTTP-сервер, на якім рэзалвер апрацоўвае запыты праз Web API. Існуючы стандарт DNSSEC выкарыстоўвае шыфраванне толькі для аўтэнтыфікацыі кліента і сервера, але не абараняе трафік ад перахопу і не гарантуе канфідэнцыйнасць запытаў.
Для ўключэння DoH у about:config варта змяніць значэнне зменнай network.trr.mode, якая падтрымліваецца пачынальна з Firefox 60. Значэнне 0 цалкам адключае DoH; 1 - выкарыстоўваецца DNS або DoH, у залежнасці ад таго, што хутчэй; 2 - выкарыстоўваецца DoH па змаўчанні, а DNS як запасны варыянт; 3 - выкарыстоўваецца толькі DoH; 4 - рэжым люстэркавання пры якім DoH і DNS задзейнічаны паралельна. Па змаўчанні выкарыстоўваецца DNS-сервер CloudFlare, але яго можна змяніць праз параметр network.trr.uri, напрыклад, можна ўсталяваць "https://dns.google.com/experimental" або "https://9.9.9.9/dns-query ».
Крыніца: opennet.ru