Firefox Developers o završetku testiranja podrške za DNS preko HTTPS-a (DoH, DNS preko HTTPS-a) i namjeri da se ova tehnologija standardno omogući za američke korisnike krajem septembra. Uključivanje će se vršiti progresivno, u početku za nekoliko posto korisnika, a u nedostatku problema postepeno povećavajući na 100%. Nakon pokrivanja SAD-a, razmotrit će se mogućnost uključivanja DoH u druge zemlje.
Testovi provedeni tijekom cijele godine pokazali su pouzdanost i dobre performanse usluge, a također su omogućili da se identifikuju neke situacije u kojima DoH može dovesti do problema i razviti rješenja za njihovo zaobilaženje (na primjer, demontirani sa optimizacijom saobraćaja u mrežama za isporuku sadržaja, roditeljskom kontrolom i korporativnim internim DNS zonama).
Važnost šifriranja DNS saobraćaja smatra se suštinski važnim faktorom u zaštiti korisnika, pa je odlučeno da se DoH omogući podrazumevano, ali u prvoj fazi samo za korisnike iz Sjedinjenih Država. Nakon aktiviranja DoH-a, korisniku će biti prikazano upozorenje koje će po želji omogućiti da odbije pristup centraliziranim DoH DNS serverima i vrati se na tradicionalnu šemu slanja nešifriranih upita na DNS server provajdera (umjesto distribuirane infrastrukture od DNS razrješači, DoH koristi vezivanje za određenu DoH uslugu, što se može smatrati jednom tačkom kvara).
Kada je DoH aktiviran, sistemi roditeljske kontrole i korporativne mreže koje koriste strukturu DNS imena samo za internu mrežu za rješavanje intranet adresa i korporativnih hostova mogu biti poremećene. Za rješavanje problema s ovakvim sistemima dodat je sistem provjera koji automatski onemogućuje DoH. Provjere se vrše svaki put kada se pretraživač pokrene ili kada se otkrije promjena podmreže.
Automatski povratak na korištenje standardnog rezolvera operativnog sistema je također omogućen u slučaju kvarova prilikom rješavanja putem DoH (na primjer, u slučaju kršenja dostupnosti mreže kod DoH provajdera ili kvarova u njegovoj infrastrukturi). Značenje ovakvih provjera je sumnjivo, jer niko ne sprječava napadače koji kontroliraju rad razrjeđivača ili su u stanju ometati promet da simuliraju takvo ponašanje kako bi onemogućili enkripciju DNS prometa. Problem se rješava dodavanjem stavke "DoH uvijek" (podrazumevano nije aktivno) u postavke, kada je postavljeno, automatsko gašenje se ne primjenjuje, što je razuman kompromis.
Da bi se identificirali poslovni razrješači, vrše se provjere za atipične domene prvog nivoa (TLD) i sistemski razrješavač vraća intranet adrese. Da bi se utvrdilo da li je roditeljska kontrola omogućena, pokušava se razriješiti ime exampleadultsite.com i ako rezultat ne odgovara stvarnoj IP adresi, smatra se da je blokiranje sadržaja za odrasle aktivno na DNS nivou. Google i YouTube IP adrese se također provjeravaju kao indikatori da se vidi jesu li lažne kao limited.youtube.com, forcesafesearch.google.com i limitedmoderate.youtube.com. Više Mozilla implementirati jedan test host , koji ISP-ovi i usluge roditeljske kontrole mogu koristiti kao oznaku za onemogućavanje DoH-a (ako host nije pronađen, Firefox onemogućuje DoH).
Rad kroz jednu DoH uslugu također može potencijalno dovesti do problema s optimizacijom prometa u mrežama za isporuku sadržaja koje vrše balansiranje prometa koristeći DNS (DNS server CDN mreže generiše odgovor, uzimajući u obzir adresu razrješača i izdaje najbliži host za primanje sadržaja). Slanje DNS upita od rezolvera najbližeg korisniku u takvim CDN-ovima vraća adresu hosta najbližeg korisniku, ali slanje DNS upita iz centraliziranog razrjeđivača će vratiti adresu hosta najbližu DNS-over-HTTPS serveru. Testiranje u praksi pokazalo je da korištenje DNS-over-HTTP-a pri korištenju CDN-a praktički nije dovelo do kašnjenja prije početka prijenosa sadržaja (za brze veze kašnjenja nisu prelazila 10 milisekundi, a čak je i ubrzanje primijećeno na sporim komunikacijskim kanalima ). Također smo razmotrili korištenje ekstenzije EDNS klijentske podmreže za prosljeđivanje informacija o lokaciji klijenta CDN rezoluču.
Podsjetimo, DoH može biti koristan za sprječavanje curenja informacija o traženim imenima hosta preko DNS servera provajdera, za suzbijanje MITM napada i lažiranja DNS prometa, za odupiranje blokiranju na nivou DNS-a ili za organizaciju rada u slučaju nemogućnosti direktnog pristup DNS serverima (na primer, kada radite preko proxy servera). Dok se obično DNS zahtjevi šalju direktno na DNS servere definirane u konfiguraciji sistema, u slučaju DoH-a, zahtjev za određivanje IP adrese hosta se inkapsulira u HTTPS promet i šalje na HTTP server, na kojem razrješavač obrađuje zahtjeve putem Web API. Trenutni DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i servera, ali ne štiti promet od presretanja i ne garantuje povjerljivost zahtjeva.
Da biste omogućili DoH u about:config, promijenite vrijednost varijable network.trr.mode, koja je podržana od Firefoxa 60. Vrijednost 0 potpuno onemogućuje DoH; 1 - koristi se DNS ili DoH, što je brže; 2 - DoH se koristi po defaultu, a DNS se koristi kao rezervni; 3 - koristi se samo DoH; 4 - način preslikavanja u kojem se DoH i DNS koriste paralelno. CloudFlareov DNS server se koristi po defaultu, ali se može promijeniti putem parametra network.trr.uri, na primjer, možete postaviti "https://dns.google.com/experimental" ili "https://9.9.9.9 /dns-query".
izvor: opennet.ru