Sviluppatori di Firefox nantu à a fine di a prova di supportu per DNS over HTTPS (DoH, DNS over HTTPS) è l'intenzione di attivà sta tecnulugia per automaticamente per l'utilizatori di i Stati Uniti à a fine di settembre. L'inclusione serà realizatu progressivamente, inizialmente per un pocu per centu di l'utilizatori, è in l'absenza di prublemi, aumentendu gradualmente à 100%. Dopu avè copre i Stati Uniti, a pussibilità di include DoH in altri paesi serà cunsiderata.
I testi realizati in tuttu l'annu anu dimustratu l'affidabilità è a bona prestazione di u serviziu, è anu ancu permessu di identificà alcune situazioni induve DoH pò purtà à prublemi è sviluppà suluzioni per aggirali (per esempiu, smantellati). cù l'ottimisazione di u trafficu in e rete di spedizione di cuntenutu, u cuntrollu parentale è e zoni DNS interne corporative).
L'impurtanza di a criptografia di u trafficu DNS hè cunsiderata cum'è un fattore fundamentale impurtante in a prutezzione di l'utilizatori, cusì hè statu decisu di attivà DoH per automaticamente, ma in u primu stadiu solu per l'utilizatori di i Stati Uniti. Dopu l'attivazione di DoH, un avvisu serà mostratu à l'utilizatore, chì permetterà, se vulete, di ricusà l'accessu à i servitori DNS DoH centralizati è di vultà à u schema tradiziunale di mandà dumande micca criptate à u servitore DNS di u fornitore (invece di una infrastruttura distribuita di Risolutori DNS, DoH usa u ligame à un serviziu specificu DoH, chì pò esse cunsideratu cum'è un puntu unicu di fallimentu).
Quandu DoH hè attivatu, i sistemi di cuntrollu parentale è e rete corporativa chì utilizanu a struttura interna di nomi DNS solu per a rete interna per risolve l'indirizzi intranet è l'ospiti corporativi ponu esse disturbati. Per risolve i prublemi cù tali sistemi, hè statu aghjuntu un sistema di cuntrolli chì disattiva automaticamente DoH. I cuntrolli sò realizati ogni volta chì u navigatore hè lanciatu o quandu un cambiamentu di subnet hè rilevatu.
U ritornu automaticu à l'usu di u risolve standard di u sistema operatore hè ancu furnitu in casu di fallimenti durante a risoluzione via DoH (per esempiu, in casu di violazione di a dispunibilità di a rete cù u fornitore DoH o fallimenti in a so infrastruttura). U significatu di tali cuntrolli hè dubbitu, postu chì nimu impedisce à l'attaccanti chì cuntrollanu l'operazione di u resolutore o sò capaci di interferiscenu cù u trafficu da simule un tali cumpurtamentu per disattivà a criptografia di u trafficu DNS. U prublema hè risolta aghjustendu l'elementu "DoH sempre" (predeterminatu ùn hè micca attivu) à i paràmetri, quandu hè stallatu, l'arrestu automaticu ùn hè micca appiicatu, chì hè un cumprumissu raghjone.
Per identificà i risolventi di l'impresa, i cuntrolli sò fatti per i domini atipici di primu livellu (TLD) è u risolve di u sistema torna l'indirizzi intranet. Per stabilisce se i cuntrolli parentali sò attivati, un tentativu hè fattu per risolve u nome exampleadultsite.com è se u risultatu ùn currisponde à l'IP attuale, hè cunsideratu chì u bloccu di cuntenutu per adulti hè attivu à u livellu DNS. L'indirizzi IP di Google è YouTube sò ancu verificati cum'è indicatori per vede s'ellu sò falsificati cum'è restrict.youtube.com, forcesafesearch.google.com è restrictmoderate.youtube.com. Più Mozilla implementà un unicu host di prova , chì pò esse usatu da ISP è servizii di cuntrollu parentale cum'è bandiera per disattivà DoH (se l'ospite ùn hè micca truvatu, Firefox disattiva DoH).
U travagliu cù un unicu serviziu DoH pò ancu potenzialmente purtà à prublemi cù l'ottimisazione di u trafficu in e rete di distribuzione di cuntenutu chì realizanu equilibriu di trafficu cù DNS (u servitore DNS di a rete CDN genera una risposta, tenendu in contu l'indirizzu di u resolutore è emette l'ospite più vicinu). per riceve u cuntenutu). Invià una dumanda DNS da u resolutore più vicinu à l'utilizatore in tali CDN torna l'indirizzu di l'ospite più vicinu à l'utilizatore, ma l'inviu di una dumanda DNS da u resolutore centralizatu restituverà l'indirizzu di l'ospiti più vicinu à u servitore DNS-over-HTTPS. A prova in pratica hà dimustratu chì l'usu di DNS-over-HTTP quandu si usa un CDN praticamente ùn hà micca purtatu à ritardi prima di l'iniziu di u trasferimentu di cuntenutu (per cunnessione veloci, i ritardi ùn anu micca più di 10 millisecondi, è ancu l'accelerazione hè stata osservata nantu à i canali di cumunicazione lenta. ). Avemu ancu cunsideratu usà l'estensione Client Subnet EDNS per passà l'infurmazioni di u locu di u cliente à u CDN resolutore.
Ricurdativi chì DoH pò esse utile per prevene filtrazioni di informazioni nantu à i nomi di l'ospiti richiesti attraversu i servitori DNS di i fornituri, per cumbatte l'attacchi MITM è u trafficu DNS spoofing, per resiste à u bluccatu à u livellu DNS, o per urganizà u travagliu in casu d'impossibilità di diretta diretta. accessu à i servitori DNS (per esempiu, quandu travaglia cù un proxy). Mentre chì normalmente e dumande DNS sò mandate direttamente à i servitori DNS definiti in a cunfigurazione di u sistema, in u casu di DoH, a dumanda per determinà l'indirizzu IP di l'ospitu hè incapsulata in u trafficu HTTPS è mandata à u servitore HTTP, in quale u resolutore processa e dumande via. l'API Web. L'attuale standard DNSSEC usa a criptografia solu per autentificà u cliente è u servitore, ma ùn pruteghja micca u trafficu da l'intercepzioni è ùn guarantisci micca a cunfidenziale di e dumande.
Per attivà DoH in about:config, cambia u valore di a variàbile network.trr.mode, chì hè stata supportata da Firefox 60. Un valore di 0 disattiva DoH completamente; 1 - DNS o DoH hè utilizatu, quellu chì hè più veloce; 2 - DoH hè utilizatu per difettu, è DNS hè utilizatu cum'è fallback; 3 - solu DoH hè utilizatu; 4 - modalità mirroring in quale DoH è DNS sò usati in parallelu. U servitore DNS di CloudFlare hè utilizatu per automaticamente, ma pò esse cambiatu via u paràmetru network.trr.uri, per esempiu, pudete stabilisce "https://dns.google.com/experimental" o "https://9.9.9.9". /dns-query ".
Source: opennet.ru