Vývojáři Firefoxu o povolení režimu DNS přes HTTPS (DoH, DNS over HTTPS) ve výchozím nastavení pro uživatele v USA. Šifrování DNS provozu je považováno za zásadně důležitý faktor ochrany uživatelů. Ode dneška budou mít všechny nové instalace uživatelů v USA ve výchozím nastavení povoleno DoH. Stávající uživatelé v USA budou během několika týdnů převedeni na DoH. V Evropské unii a dalších zemích prozatím aktivujte DoH ve výchozím nastavení .
Po aktivaci DoH se uživateli zobrazí varování, které umožňuje v případě potřeby odmítnout kontaktovat centralizované DoH DNS servery a vrátit se k tradičnímu schématu odesílání nešifrovaných dotazů na DNS server poskytovatele. Místo distribuované infrastruktury DNS resolverů používá DoH vazbu na konkrétní službu DoH, kterou lze považovat za jediný bod selhání. V současné době je práce nabízena prostřednictvím dvou poskytovatelů DNS – CloudFlare (výchozí) a .
Změňte poskytovatele nebo deaktivujte DoH v nastavení síťového připojení. Můžete například zadat alternativní server DoH „https://dns.google/dns-query“ pro přístup k serverům Google, „https://dns.quad9.net/dns-query“ – Quad9 a „https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config také poskytuje nastavení network.trr.mode, pomocí kterého můžete změnit provozní režim DoH: hodnota 0 zcela vypne režim DoH; 1 - používá se DNS nebo DoH, podle toho, co je rychlejší; 2 - Ve výchozím nastavení se používá DoH a jako záložní možnost se používá DNS; 3 - používá se pouze DoH; 4 - režim zrcadlení, ve kterém se paralelně používají DoH a DNS.
Připomeňme, že DoH může být užitečné pro zabránění úniku informací o požadovaných názvech hostitelů přes DNS servery poskytovatelů, v boji proti MITM útokům a DNS traffic spoofing (například při připojení k veřejné Wi-Fi), proti blokování na DNS úroveň (DoH nemůže nahradit VPN v oblasti obcházení blokování implementovaného na úrovni DPI) nebo pro organizaci práce, pokud není možný přímý přístup k serverům DNS (například při práci přes proxy). Pokud jsou za normální situace požadavky DNS odesílány přímo na servery DNS definované v konfiguraci systému, pak v případě DoH je požadavek na určení IP adresy hostitele zapouzdřen do provozu HTTPS a odeslán na server HTTP, kde překladač zpracovává požadavky prostřednictvím webového rozhraní API. Stávající standard DNSSEC používá šifrování pouze k ověření klienta a serveru, ale nechrání provoz před zachycením a nezaručuje důvěrnost požadavků.
Chcete-li vybrat poskytovatele DoH nabízené ve Firefoxu, důvěryhodným DNS resolverům, podle kterých může operátor DNS získané údaje použít k rozlišení pouze k zajištění provozu služby, nesmí uchovávat protokoly déle než 24 hodin, nemůže předávat data třetím stranám a je povinen sdělovat informace o metody zpracování dat. Služba musí také souhlasit s tím, že nebude cenzurovat, filtrovat, narušovat nebo blokovat provoz DNS, s výjimkou situací stanovených zákonem.
DoH by se mělo používat opatrně. Například v Ruské federaci IP adresy 104.16.248.249 a 104.16.249.249 spojené s výchozím serverem DoH mozilla.cloudflare-dns.com nabízeným ve Firefoxu, в na výzvu soudu Stavropol ze dne 10.06.2013.
DoH může také způsobit problémy v oblastech, jako jsou systémy rodičovské kontroly, přístup k interním jmenným prostorům v podnikových systémech, výběr trasy v systémech optimalizace doručování obsahu a dodržování soudních příkazů v oblasti boje proti šíření nelegálního obsahu a zneužívání nezletilí. Aby se předešlo těmto problémům, byl implementován a testován kontrolní systém, který za určitých podmínek automaticky deaktivuje DoH.
K identifikaci podnikových překladačů se kontrolují atypické domény první úrovně (TLD) a systémový překladač vrací intranetové adresy. Chcete-li zjistit, zda je povolena rodičovská kontrola, provede se pokus o překlad názvu exampleadultsite.com a pokud výsledek neodpovídá skutečné adrese IP, má se za to, že blokování obsahu pro dospělé je aktivní na úrovni DNS. IP adresy Google a YouTube jsou také kontrolovány jako znaky, aby se zjistilo, zda nebyly nahrazeny adresamistrict.youtube.com, Forcesafesearch.google.com astrictmoderate.youtube.com. Tyto kontroly umožňují útočníkům, kteří kontrolují činnost resolveru nebo jsou schopni zasahovat do provozu, simulovat takové chování, aby deaktivovali šifrování provozu DNS.
Práce prostřednictvím jediné služby DoH může také potenciálně vést k problémům s optimalizací provozu v sítích pro doručování obsahu, které vyvažují provoz pomocí DNS (server DNS sítě CDN generuje odpověď s ohledem na adresu resolveru a poskytuje nejbližšímu hostiteli pro příjem obsahu). Odeslání dotazu DNS z překladače, který je nejblíže uživateli v takových sítích CDN, má za následek vrácení adresy hostitele, který je uživateli nejblíže, ale odeslání dotazu DNS z centralizovaného překladače vrátí adresu hostitele nejblíže serveru DNS-over-HTTPS. . Testování v praxi ukázalo, že použití DNS-over-HTTP při použití CDN nevedlo prakticky k žádným zpožděním před zahájením přenosu obsahu (u rychlých připojení nepřesáhla zpoždění 10 milisekund a na pomalých komunikačních kanálech byl pozorován ještě rychlejší výkon ). Uvažovalo se také o použití rozšíření EDNS Client Subnet pro poskytování informací o umístění klienta do CDN resolveru.
Zdroj: opennet.ru