Разработчици на Firefox относно завършването на тестовата поддръжка за DNS през HTTPS (DoH, DNS през HTTPS) и намерението тази технология да се активира по подразбиране за потребители в САЩ в края на септември. Включването ще се извършва постепенно, първоначално за няколко процента от потребителите, а при липса на проблеми постепенно ще се увеличава до 100%. След покриване на САЩ ще бъде разгледана възможността за включване на DoH в други страни.
Тестовете, провеждани през годината, показаха надеждността и доброто представяне на услугата, а също така позволиха да се идентифицират някои ситуации, при които DoH може да доведе до проблеми и да се разработят решения за заобикалянето им (например демонтирани с оптимизиране на трафика в мрежи за доставка на съдържание, родителски контрол и корпоративни вътрешни DNS зони).
Значението на криптирането на DNS трафик се счита за фундаментално важен фактор за защита на потребителите, така че беше решено да се активира DoH по подразбиране, но на първия етап само за потребители от Съединените щати. След активиране на DoH, на потребителя ще се покаже предупреждение, което ще позволи, ако желаете, да откаже достъп до централизирани DoH DNS сървъри и да се върне към традиционната схема за изпращане на некриптирани заявки към DNS сървъра на доставчика (вместо разпределена инфраструктура на DNS резолвери, DoH използва обвързване към конкретна DoH услуга, която може да се счита за единична точка на отказ).
Когато DoH е активиран, системите за родителски контрол и корпоративните мрежи, които използват структурата на имена на DNS само за вътрешна мрежа за разрешаване на интранет адреси и корпоративни хостове, могат да бъдат прекъснати. За решаване на проблеми с такива системи е добавена система от проверки, която автоматично деактивира DoH. Проверките се извършват при всяко стартиране на браузъра или когато бъде открита промяна в подмрежата.
Осигурява се и автоматично връщане към използване на стандартния резолвер на операционната система в случай на повреди по време на разрешаване чрез DoH (например в случай на нарушение на достъпността на мрежата с доставчика на DoH или повреди в неговата инфраструктура). Значението на такива проверки е съмнително, тъй като никой не пречи на нападателите, които контролират работата на резолвера или могат да се намесват в трафика, да симулират подобно поведение, за да деактивират криптирането на DNS трафика. Проблемът се решава чрез добавяне на елемента „DoH винаги“ (по подразбиране не е активен) към настройките, когато е зададен, автоматичното изключване не се прилага, което е разумен компромис.
За идентифициране на корпоративни резолвери се правят проверки за нетипични домейни от първо ниво (TLD) и системният резолвер връща интранет адреси. За да се определи дали родителският контрол е активиран, се прави опит за разрешаване на името exampleadultsite.com и ако резултатът не съвпада с действителния IP, се счита, че блокирането на съдържание за възрастни е активно на ниво DNS. IP адресите на Google и YouTube също се проверяват като индикатори, за да се види дали са подправени като restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Още Mozilla прилагане на един тестов хост , който може да се използва от ISP и услугите за родителски контрол като флаг за деактивиране на DoH (ако хостът не бъде намерен, Firefox деактивира DoH).
Работата чрез една DoH услуга също може потенциално да доведе до проблеми с оптимизирането на трафика в мрежи за доставка на съдържание, които извършват балансиране на трафика с помощта на DNS (DNS сървърът на CDN мрежата генерира отговор, като взема предвид адреса на резолвера и издава най-близкия хост за получаване на съдържание). Изпращането на DNS заявка от резолвера, който е най-близо до потребителя, в такива CDN връща адреса на хоста, който е най-близо до потребителя, но изпращането на DNS заявка от централизирания резолвер ще върне адреса на хоста, който е най-близо до DNS-over-HTTPS сървъра. Тестването на практика показа, че използването на DNS-over-HTTP при използване на CDN практически не води до забавяне преди началото на трансфера на съдържание (за бързи връзки забавянията не надвишават 10 милисекунди и дори се наблюдава ускорение при бавни комуникационни канали ). Също така обмисляхме използването на разширението за клиентска подмрежа на EDNS, за да предадем информацията за местоположението на клиента към CDN резолвера.
Спомнете си, че DoH може да бъде полезно за предотвратяване на изтичане на информация за исканите имена на хостове през DNS сървърите на доставчиците, за борба с MITM атаки и подправяне на DNS трафик, за противодействие на блокирането на ниво DNS или за организиране на работа в случай на невъзможност за директен достъп до DNS сървъри (например при работа чрез прокси). Докато обикновено DNS заявките се изпращат директно към DNS сървърите, дефинирани в системната конфигурация, в случай на DoH заявката за определяне на IP адреса на хоста се капсулира в HTTPS трафик и се изпраща до HTTP сървъра, на който резолверът обработва заявки чрез уеб API. Настоящият стандарт DNSSEC използва криптиране само за удостоверяване на клиента и сървъра, но не защитава трафика от прихващане и не гарантира поверителността на заявките.
За да активирате DoH в about:config, променете стойността на променливата network.trr.mode, която се поддържа от Firefox 60. Стойност 0 деактивира напълно DoH; 1 - Използва се DNS или DoH, което от двете е по-бързо; 2 - DoH се използва по подразбиране, а DNS се използва като резервен; 3 - използва се само DoH; 4 - огледален режим, при който DoH и DNS се използват паралелно. DNS сървърът на CloudFlare се използва по подразбиране, но може да бъде променен чрез параметъра network.trr.uri, например можете да зададете „https://dns.google.com/experimental“ или „https://9.9.9.9 /dns-заявка ".
Източник: opennet.ru