Firefox Developers
Nakon aktiviranja DoH-a, korisniku se prikazuje upozorenje koje omogućava, po želji, da odbije kontaktiranje centraliziranih DoH DNS servera i vrati se na tradicionalnu šemu slanja nešifriranih upita na DNS server provajdera. Umjesto distribuirane infrastrukture DNS razrješavača, DoH koristi vezivanje za određenu DoH uslugu, što se može smatrati jednom tačkom kvara. Trenutno se rad nudi preko dva DNS provajdera - CloudFlare (podrazumevano) i
Promijenite provajdera ili onemogućite DoH
Podsjetimo da DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hosta preko DNS servera provajdera, suzbijanje MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranja na DNS nivou (DoH ne može zamijeniti VPN u području zaobilaženja blokiranja implementiranog na DPI nivou) ili za organizaciju rada u slučaju da je nemoguće direktno pristupiti DNS serverima (na primjer, kada se radi preko proxyja). Dok se u normalnoj situaciji DNS zahtjevi šalju direktno na DNS servere definisane u konfiguraciji sistema, u slučaju DoH-a, zahtjev za određivanje IP adrese hosta se inkapsulira u HTTPS promet i šalje na HTTP server, na kojem je razrješavač obrađuje zahtjeve kroz Web API. Trenutni DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i servera, ali ne štiti promet od presretanja i ne garantuje povjerljivost zahtjeva.
Da odaberete DoH provajdere koji se nude u Firefoxu,
DoH treba koristiti s oprezom. Na primjer, u Ruskoj Federaciji, IP adrese 104.16.248.249 i 104.16.249.249 povezane sa zadanim DoH serverom mozilla.cloudflare-dns.com ponuđenim u Firefoxu,
DoH također može uzrokovati probleme u oblastima kao što su sistemi roditeljske kontrole, pristup internim imenskim prostorima u korporativnim sistemima, odabir ruta u sistemima za optimizaciju isporuke sadržaja i poštivanje sudskih naloga u oblasti borbe protiv distribucije ilegalnog sadržaja i eksploatacije maloljetnici. Da bi se zaobišli takvi problemi, implementiran je i testiran sistem provjere koji automatski onemogućuje DoH pod određenim uvjetima.
Da bi se identificirali poslovni razrješači, provjeravaju se atipični domeni prvog nivoa (TLD) i sistemski razrješavač vraća intranet adrese. Da bi se utvrdilo da li je roditeljska kontrola omogućena, pokušava se razriješiti ime exampleadultsite.com i ako rezultat ne odgovara stvarnoj IP adresi, smatra se da je blokiranje sadržaja za odrasle aktivno na DNS nivou. IP adrese Google-a i YouTube-a se također provjeravaju kao znakovi da se vidi da li su zamijenjene ograničenjima.youtube.com, forcesafesearch.google.com i restrictmoderate.youtube.com. Ove provjere omogućavaju napadačima koji kontroliraju rad razrjeđivača ili su sposobni ometati promet da simuliraju takvo ponašanje kako bi onemogućili enkripciju DNS prometa.
Rad kroz jednu DoH uslugu također može potencijalno dovesti do problema s optimizacijom prometa u mrežama za isporuku sadržaja koje vrše balansiranje prometa koristeći DNS (DNS server CDN mreže generiše odgovor, uzimajući u obzir adresu razrješača i izdaje najbliži host za primanje sadržaja). Slanje DNS upita od rezolvera najbližeg korisniku u takvim CDN-ovima vraća adresu hosta najbližeg korisniku, ali slanje DNS upita iz centraliziranog razrjeđivača će vratiti adresu hosta najbližu DNS-over-HTTPS serveru. Testiranje u praksi pokazalo je da korištenje DNS-over-HTTP-a pri korištenju CDN-a praktički nije dovelo do kašnjenja prije početka prijenosa sadržaja (za brze veze kašnjenja nisu prelazila 10 milisekundi, a čak je i ubrzanje primijećeno na sporim komunikacijskim kanalima ). Također smo razmotrili korištenje ekstenzije EDNS klijentske podmreže za prosljeđivanje informacija o lokaciji klijenta CDN rezoluču.
izvor: opennet.ru