Desenvolupadors de Firefox sobre la finalització de les proves de suport per a DNS sobre HTTPS (DoH, DNS sobre HTTPS) i la intenció d'habilitar aquesta tecnologia per defecte per als usuaris dels EUA a finals de setembre. La inclusió es farà de manera progressiva, inicialment per a un percentatge d'usuaris, i en absència de problemes, augmentant progressivament fins al 100%. Després de cobrir els EUA, es considerarà la possibilitat d'incloure DoH en altres països.
Les proves realitzades al llarg de l'any van demostrar la fiabilitat i el bon rendiment del servei, i també van permetre identificar algunes situacions en les quals DoH pot generar problemes i desenvolupar solucions per evitar-los (per exemple, desmantellats). amb optimització del trànsit en xarxes de lliurament de continguts, control parental i zones DNS internes corporatives).
La importància del xifratge del trànsit DNS es considera un factor fonamentalment important per protegir els usuaris, per la qual cosa es va decidir habilitar DoH de manera predeterminada, però en la primera etapa només per als usuaris dels Estats Units. Després d'activar DoH, es mostrarà a l'usuari un avís que permetrà, si ho desitja, rebutjar l'accés als servidors DNS DoH centralitzats i tornar a l'esquema tradicional d'enviament de consultes sense xifrar al servidor DNS del proveïdor (en lloc d'una infraestructura distribuïda de Com a solucionadors de DNS, DoH utilitza la vinculació a un servei DoH específic, que es pot considerar com un únic punt d'error).
Quan s'activa DoH, es poden interrompre els sistemes de control parental i les xarxes corporatives que utilitzen l'estructura de noms DNS només de xarxa interna per resoldre adreces d'intranet i amfitrions corporatius. Per resoldre problemes amb aquests sistemes, s'ha afegit un sistema de comprovacions que desactiva automàticament DoH. Les comprovacions es realitzen cada vegada que s'inicia el navegador o quan es detecta un canvi de subxarxa.
També es proporciona el retorn automàtic a l'ús de la resolució estàndard del sistema operatiu en cas de fallades durant la resolució mitjançant DoH (per exemple, en cas de violació de la disponibilitat de la xarxa amb el proveïdor de DoH o errors en la seva infraestructura). El significat d'aquestes comprovacions és dubtós, ja que ningú impedeix que els atacants que controlen el funcionament del resolutor o que poden interferir amb el trànsit simulin aquest comportament per desactivar el xifratge del trànsit DNS. El problema es resol afegint l'element "DoH sempre" (per defecte no està actiu) a la configuració, quan s'estableix, no s'aplica l'apagada automàtica, que és un compromís raonable.
Per identificar els solucionadors d'empresa, es comprova els dominis de primer nivell (TLD) atípics i el resolutor del sistema retorna adreces d'intranet. Per determinar si els controls parentals estan activats, s'intenta resoldre el nom exampleadultsite.com i si el resultat no coincideix amb la IP real, es considera que el bloqueig de contingut per a adults està actiu a nivell de DNS. Les adreces IP de Google i YouTube també es comproven com a indicadors per veure si estan falsificades com a restrict.youtube.com, forcesafesearch.google.com i restrictmoderate.youtube.com. Més Mozilla implementar un únic host de prova , que els ISP i els serveis de control parental poden utilitzar com a indicador per desactivar DoH (si no es troba l'amfitrió, Firefox desactiva DoH).
Treballar a través d'un únic servei DoH també pot provocar problemes amb l'optimització del trànsit a les xarxes de lliurament de contingut que fan un equilibri de trànsit mitjançant DNS (el servidor DNS de la xarxa CDN genera una resposta, tenint en compte l'adreça del resolutor i emet l'amfitrió més proper). rebre contingut). L'enviament d'una consulta DNS des del solucionador més proper a l'usuari en aquests CDN retorna l'adreça de l'amfitrió més propera a l'usuari, però l'enviament d'una consulta DNS des del resolutor centralitzat retornarà l'adreça de l'amfitrió més propera al servidor DNS-over-HTTPS. Les proves a la pràctica van demostrar que l'ús de DNS-over-HTTP quan s'utilitzava un CDN pràcticament no va provocar retards abans de l'inici de la transferència de contingut (per a connexions ràpides, els retards no van superar els 10 mil·lisegons i fins i tot es va observar una acceleració en canals de comunicació lents). ). També vam considerar utilitzar l'extensió de subxarxa de client EDNS per passar la informació d'ubicació del client al solucionador de CDN.
Recordem que DoH pot ser útil per evitar filtracions d'informació sobre els noms d'amfitrió sol·licitats a través dels servidors DNS dels proveïdors, per combatre els atacs MITM i la falsificació de trànsit DNS, per resistir el bloqueig a nivell de DNS o per organitzar el treball en cas d'impossibilitat de accés als servidors DNS (per exemple, quan es treballa mitjançant un servidor intermediari). Tot i que normalment les sol·licituds DNS s'envien directament als servidors DNS definits a la configuració del sistema, en el cas de DoH, la sol·licitud per determinar l'adreça IP de l'amfitrió s'encapsula en el trànsit HTTPS i s'envia al servidor HTTP, on el resolutor processa les sol·licituds mitjançant l'API web. L'estàndard DNSSEC actual utilitza el xifratge només per autenticar el client i el servidor, però no protegeix el trànsit de la intercepció i no garanteix la confidencialitat de les sol·licituds.
Per habilitar DoH a about:config, canvieu el valor de la variable network.trr.mode, que s'admet des de Firefox 60. Un valor de 0 desactiva DoH completament; 1 - S'utilitza DNS o DoH, el que sigui més ràpid; 2 - DoH s'utilitza de manera predeterminada i DNS s'utilitza com a alternativa; 3 - només s'utilitza DoH; 4 - Mode de duplicació en què DoH i DNS s'utilitzen en paral·lel. El servidor DNS de CloudFlare s'utilitza de manera predeterminada, però es pot canviar mitjançant el paràmetre network.trr.uri, per exemple, podeu configurar "https://dns.google.com/experimental" o "https://9.9.9.9". /dns-query ".
Font: opennet.ru