Sviluppatori di Firefox circa l'attivazione di u DNS over HTTPS (DoH, DNS over HTTPS) in modu predeterminatu per l'utilizatori di i Stati Uniti. A criptografia di u trafficu DNS hè cunsideratu un fattore fundamentale impurtante in a prutezzione di l'utilizatori. A partesi d'oghje, tutte e novi installazioni da l'utilizatori di i Stati Uniti anu DoH attivatu per difettu. L'utilizatori esistenti di i Stati Uniti sò previsti per esse cambiati à DoH in uni pochi di settimane. In l'Unione Europea è altri paesi, attivate DoH per automaticamente per ora .
Dopu l'attivazione di DoH, un avvisu hè visualizatu à l'utilizatore, chì permette, se vulete, di ricusà di cuntattà i servitori DNS DoH centralizati è di vultà à u schema tradiziunale di mandà dumande micca criptate à u servitore DNS di u fornitore. Invece di una infrastruttura distribuita di resolutori DNS, DoH usa un ligame à un serviziu specificu di DoH, chì pò esse cunsideratu un unicu puntu di fallimentu. Attualmente, u travagliu hè offrittu attraversu dui fornituri DNS - CloudFlare (predeterminatu) è .
Cambia u fornitore o disattivà DoH in i paràmetri di cunnessione di a rete. Per esempiu, pudete specificà un servitore DoH alternativu "https://dns.google/dns-query" per accede à i servitori di Google, "https://dns.quad9.net/dns-query" - Quad9 è "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config furnisce ancu l'impostazione network.trr.mode, per mezu di quale pudete cambià u modu di funziunamentu DoH: un valore di 0 disattiva completamente DoH; 1 - DNS o DoH hè utilizatu, quellu chì hè più veloce; 2 - DoH hè utilizatu per automaticamente, è DNS hè utilizatu cum'è una opzione di fallback; 3 - solu DoH hè utilizatu; 4 - modalità mirroring in quale DoH è DNS sò usati in parallelu.
Ricurdemu chì DoH pò esse utile per a prevenzione di fughe d'infurmazioni nantu à i nomi di l'ospiti richiesti attraversu i servitori DNS di i fornituri, a lotta à l'attacchi MITM è a spoofing di trafficu DNS (per esempiu, quandu si cunnetta à u Wi-Fi publicu), contru à u bloccu à u DNS. Livellu (DoH ùn pò micca rimpiazzà una VPN in l'area di u bloccu di bypassing implementatu à u livellu DPI) o per urganizà u travagliu s'ellu hè impussibile di accede direttamente à i servitori DNS (per esempiu, quandu travaglia cù un proxy). Se in una situazione normale, e dumande DNS sò direttamente mandate à i servitori DNS definiti in a cunfigurazione di u sistema, allora in u casu di DoH, a dumanda per determinà l'indirizzu IP di l'ospiti hè incapsulata in u trafficu HTTPS è mandata à u servitore HTTP, induve i prucessi di risolve. richieste via l'API Web. U standard DNSSEC esistente usa a criptografia solu per autentificà u cliente è u servitore, ma ùn pruteghja micca u trafficu da l'intercepzioni è ùn guarantisci micca a cunfidenziale di e dumande.
Per selezziunà i fornitori DoH offerti in Firefox, à i resolutori DNS di fiducia, secondu chì l'operatore DNS pò utilizà e dati ricevuti per a risoluzione solu per assicurà l'operazione di u serviziu, ùn deve micca almacenà logs per più di 24 ore, ùn pò micca trasfiriri dati à terzi è hè obligatu à divulgà infurmazioni metudi di trattamentu di dati. U serviziu deve ancu accettà micca di censurà, filtrà, interferiscenu o bluccà u trafficu DNS, salvu in situazioni previste da a lege.
DoH deve esse usatu cun prudenza. Per esempiu, in a Federazione Russa, l'indirizzi IP 104.16.248.249 è 104.16.249.249 assuciati cù u servitore DoH predeterminatu mozilla.cloudflare-dns.com offertu in Firefox, в à a dumanda di u tribunale di Stavropol data di ghjugnu 10.06.2013, XNUMX.
DoH pò ancu causà prublemi in spazii cum'è i sistemi di cuntrollu parentale, l'accessu à i spazii di nomi interni in i sistemi corporativi, a selezzione di rotte in i sistemi di ottimisazione di consegna di cuntenutu, è u rispettu di ordini di tribunale in l'area di cummattiri a distribuzione di cuntenutu illegale è a sfruttamentu di minori. Per evità tali prublemi, hè statu implementatu è pruvatu un sistema di verificazione chì disattiva automaticamente DoH in certi cundizioni.
Per identificà i risolventi di l'impresa, i domini atipici di primu livellu (TLD) sò verificati è u risolve di u sistema torna l'indirizzi intranet. Per stabilisce se i cuntrolli parentali sò attivati, un tentativu hè fattu per risolve u nome exampleadultsite.com è se u risultatu ùn currisponde à l'IP attuale, hè cunsideratu chì u bloccu di cuntenutu per adulti hè attivu à u livellu DNS. L'indirizzi IP di Google è YouTube sò ancu verificati cum'è segni per vede s'ellu sò stati rimpiazzati da restrict.youtube.com, forcesafesearch.google.com è restrictmoderate.youtube.com. Questi cuntrolli permettenu à l'attaccanti chì cuntrollanu l'operazione di u resolutore o sò capaci di interferiscenu cù u trafficu per simulà un tali cumpurtamentu per disattivà a criptografia di u trafficu DNS.
U travagliu cù un unicu serviziu DoH pò ancu potenzialmente purtà à prublemi cù l'ottimisazione di u trafficu in e rete di distribuzione di cuntenutu chì realizanu equilibriu di trafficu cù DNS (u servitore DNS di a rete CDN genera una risposta, tenendu in contu l'indirizzu di u resolutore è emette l'ospite più vicinu). per riceve u cuntenutu). Invià una dumanda DNS da u resolutore più vicinu à l'utilizatore in tali CDN torna l'indirizzu di l'ospite più vicinu à l'utilizatore, ma l'inviu di una dumanda DNS da u resolutore centralizatu restituverà l'indirizzu di l'ospiti più vicinu à u servitore DNS-over-HTTPS. A prova in pratica hà dimustratu chì l'usu di DNS-over-HTTP quandu si usa un CDN praticamente ùn hà micca purtatu à ritardi prima di l'iniziu di u trasferimentu di cuntenutu (per cunnessione veloci, i ritardi ùn anu micca più di 10 millisecondi, è ancu l'accelerazione hè stata osservata nantu à i canali di cumunicazione lenta. ). Avemu ancu cunsideratu usà l'estensione Client Subnet EDNS per passà l'infurmazioni di u locu di u cliente à u CDN resolutore.
Source: opennet.ru