Firefox Developers o omogućavanju režima DNS preko HTTPS-a (DoH, DNS preko HTTPS-a) prema zadanim postavkama za korisnike u SAD-u. Šifrovanje DNS saobraćaja smatra se suštinski važnim faktorom u zaštiti korisnika. Počevši od danas, sve nove instalacije američkih korisnika imat će standardno omogućen DoH. Predviđeno je da postojeći američki korisnici pređu na DoH u roku od nekoliko sedmica. U Evropskoj uniji i drugim zemljama za sada aktivirajte DoH prema zadanim postavkama .
Nakon aktiviranja DoH-a, korisniku se prikazuje upozorenje koje omogućava, po želji, da odbije kontaktiranje centraliziranih DoH DNS servera i vrati se na tradicionalnu šemu slanja nešifriranih upita na DNS server provajdera. Umjesto distribuirane infrastrukture DNS razrješavača, DoH koristi vezivanje za određenu DoH uslugu, što se može smatrati jednom tačkom kvara. Trenutno se rad nudi preko dva DNS provajdera - CloudFlare (podrazumevano) i .
Promijenite provajdera ili onemogućite DoH u postavkama mrežne veze. Na primjer, možete odrediti alternativni DoH server “https://dns.google/dns-query” za pristup Google serverima, “https://dns.quad9.net/dns-query” - Quad9 i “https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config također pruža postavku network.trr.mode, kroz koju možete promijeniti način rada DoH: vrijednost 0 potpuno onemogućuje DoH; 1 - koristi se DNS ili DoH, što je brže; 2 - DoH se koristi po defaultu, a DNS se koristi kao rezervna opcija; 3 - koristi se samo DoH; 4 - način preslikavanja u kojem se DoH i DNS koriste paralelno.
Podsjetimo da DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hosta preko DNS servera provajdera, suzbijanje MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranja na DNS nivou (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na DPI nivou) ili za organizaciju rada u slučaju da je nemoguće direktno pristupiti DNS serverima (na primjer, kada se radi preko proxyja). Dok se u normalnoj situaciji DNS zahtjevi šalju direktno na DNS servere definisane u konfiguraciji sistema, u slučaju DoH-a, zahtjev za određivanje IP adrese hosta se inkapsulira u HTTPS promet i šalje na HTTP server, na kojem je razrješavač obrađuje zahtjeve kroz Web API. Trenutni DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i servera, ali ne štiti promet od presretanja i ne garantuje povjerljivost zahtjeva.
Da odaberete DoH provajdere koji se nude u Firefoxu, pouzdanim DNS razrješavačima, prema kojima DNS operater može koristiti primljene podatke za rješavanje samo kako bi osigurao rad usluge, ne smije pohranjivati logove duže od 24 sata, ne može prenositi podatke trećim licima i dužan je otkriti informacije o metode obrade podataka. Usluga također mora pristati da neće cenzurirati, filtrirati, ometati ili blokirati DNS saobraćaj, osim u situacijama predviđenim zakonom.
DoH treba koristiti s oprezom. Na primjer, u Ruskoj Federaciji, IP adrese 104.16.248.249 i 104.16.249.249 povezane sa zadanim DoH serverom mozilla.cloudflare-dns.com ponuđenim u Firefoxu, в na zahtev Stavropoljskog suda od 10.06.2013.
DoH također može uzrokovati probleme u oblastima kao što su sistemi roditeljske kontrole, pristup internim imenskim prostorima u korporativnim sistemima, odabir ruta u sistemima za optimizaciju isporuke sadržaja i poštivanje sudskih naloga u oblasti borbe protiv distribucije ilegalnog sadržaja i eksploatacije maloljetnici. Da bi se zaobišli takvi problemi, implementiran je i testiran sistem provjere koji automatski onemogućuje DoH pod određenim uvjetima.
Da bi se identificirali poslovni razrješači, provjeravaju se atipični domeni prvog nivoa (TLD) i sistemski razrješavač vraća intranet adrese. Da bi se utvrdilo da li je roditeljska kontrola omogućena, pokušava se razriješiti ime exampleadultsite.com i ako rezultat ne odgovara stvarnoj IP adresi, smatra se da je blokiranje sadržaja za odrasle aktivno na DNS nivou. IP adrese Google-a i YouTube-a se također provjeravaju kao znakovi da se vidi da li su zamijenjene ograničenjima.youtube.com, forcesafesearch.google.com i restrictmoderate.youtube.com. Ove provjere omogućavaju napadačima koji kontroliraju rad razrjeđivača ili su sposobni ometati promet da simuliraju takvo ponašanje kako bi onemogućili enkripciju DNS prometa.
Rad kroz jednu DoH uslugu također može potencijalno dovesti do problema s optimizacijom prometa u mrežama za isporuku sadržaja koje vrše balansiranje prometa koristeći DNS (DNS server CDN mreže generiše odgovor, uzimajući u obzir adresu razrješača i izdaje najbliži host za primanje sadržaja). Slanje DNS upita od rezolvera najbližeg korisniku u takvim CDN-ovima vraća adresu hosta najbližeg korisniku, ali slanje DNS upita iz centraliziranog razrjeđivača će vratiti adresu hosta najbližu DNS-over-HTTPS serveru. Testiranje u praksi pokazalo je da korištenje DNS-over-HTTP-a pri korištenju CDN-a praktički nije dovelo do kašnjenja prije početka prijenosa sadržaja (za brze veze kašnjenja nisu prelazila 10 milisekundi, a čak je i ubrzanje primijećeno na sporim komunikacijskim kanalima ). Također smo razmotrili korištenje ekstenzije EDNS klijentske podmreže za prosljeđivanje informacija o lokaciji klijenta CDN rezoluču.
izvor: opennet.ru