Sviluppatori di Firefox
Dopu l'attivazione di DoH, un avvisu hè visualizatu à l'utilizatore, chì permette, se vulete, di ricusà di cuntattà i servitori DNS DoH centralizati è di vultà à u schema tradiziunale di mandà dumande micca criptate à u servitore DNS di u fornitore. Invece di una infrastruttura distribuita di resolutori DNS, DoH usa un ligame à un serviziu specificu di DoH, chì pò esse cunsideratu un unicu puntu di fallimentu. Attualmente, u travagliu hè offrittu attraversu dui fornituri DNS - CloudFlare (predeterminatu) è
Cambia u fornitore o disattivà DoH
Ricurdemu chì DoH pò esse utile per a prevenzione di fughe d'infurmazioni nantu à i nomi di l'ospiti richiesti attraversu i servitori DNS di i fornituri, a lotta à l'attacchi MITM è a spoofing di trafficu DNS (per esempiu, quandu si cunnetta à u Wi-Fi publicu), contru à u bloccu à u DNS. Livellu (DoH ùn pò micca rimpiazzà una VPN in l'area di u bloccu di bypassing implementatu à u livellu DPI) o per urganizà u travagliu s'ellu hè impussibile di accede direttamente à i servitori DNS (per esempiu, quandu travaglia cù un proxy). Se in una situazione normale, e dumande DNS sò direttamente mandate à i servitori DNS definiti in a cunfigurazione di u sistema, allora in u casu di DoH, a dumanda per determinà l'indirizzu IP di l'ospiti hè incapsulata in u trafficu HTTPS è mandata à u servitore HTTP, induve i prucessi di risolve. richieste via l'API Web. U standard DNSSEC esistente usa a criptografia solu per autentificà u cliente è u servitore, ma ùn pruteghja micca u trafficu da l'intercepzioni è ùn guarantisci micca a cunfidenziale di e dumande.
Per selezziunà i fornitori DoH offerti in Firefox,
DoH deve esse usatu cun prudenza. Per esempiu, in a Federazione Russa, l'indirizzi IP 104.16.248.249 è 104.16.249.249 assuciati cù u servitore DoH predeterminatu mozilla.cloudflare-dns.com offertu in Firefox,
DoH pò ancu causà prublemi in spazii cum'è i sistemi di cuntrollu parentale, l'accessu à i spazii di nomi interni in i sistemi corporativi, a selezzione di rotte in i sistemi di ottimisazione di consegna di cuntenutu, è u rispettu di ordini di tribunale in l'area di cummattiri a distribuzione di cuntenutu illegale è a sfruttamentu di minori. Per evità tali prublemi, hè statu implementatu è pruvatu un sistema di verificazione chì disattiva automaticamente DoH in certi cundizioni.
Per identificà i risolventi di l'impresa, i domini atipici di primu livellu (TLD) sò verificati è u risolve di u sistema torna l'indirizzi intranet. Per stabilisce se i cuntrolli parentali sò attivati, un tentativu hè fattu per risolve u nome exampleadultsite.com è se u risultatu ùn currisponde à l'IP attuale, hè cunsideratu chì u bloccu di cuntenutu per adulti hè attivu à u livellu DNS. L'indirizzi IP di Google è YouTube sò ancu verificati cum'è segni per vede s'ellu sò stati rimpiazzati da restrict.youtube.com, forcesafesearch.google.com è restrictmoderate.youtube.com. Questi cuntrolli permettenu à l'attaccanti chì cuntrollanu l'operazione di u resolutore o sò capaci di interferiscenu cù u trafficu per simulà un tali cumpurtamentu per disattivà a criptografia di u trafficu DNS.
U travagliu cù un unicu serviziu DoH pò ancu potenzialmente purtà à prublemi cù l'ottimisazione di u trafficu in e rete di distribuzione di cuntenutu chì realizanu equilibriu di trafficu cù DNS (u servitore DNS di a rete CDN genera una risposta, tenendu in contu l'indirizzu di u resolutore è emette l'ospite più vicinu). per riceve u cuntenutu). Invià una dumanda DNS da u resolutore più vicinu à l'utilizatore in tali CDN torna l'indirizzu di l'ospite più vicinu à l'utilizatore, ma l'inviu di una dumanda DNS da u resolutore centralizatu restituverà l'indirizzu di l'ospiti più vicinu à u servitore DNS-over-HTTPS. A prova in pratica hà dimustratu chì l'usu di DNS-over-HTTP quandu si usa un CDN praticamente ùn hà micca purtatu à ritardi prima di l'iniziu di u trasferimentu di cuntenutu (per cunnessione veloci, i ritardi ùn anu micca più di 10 millisecondi, è ancu l'accelerazione hè stata osservata nantu à i canali di cumunicazione lenta. ). Avemu ancu cunsideratu usà l'estensione Client Subnet EDNS per passà l'infurmazioni di u locu di u cliente à u CDN resolutore.
Source: opennet.ru