Vývojáři Firefoxu o dokončení testování podpory DNS přes HTTPS (DoH, DNS over HTTPS) a záměru tuto technologii standardně povolit pro uživatele z USA na konci září. Aktivace bude probíhat postupně, zpočátku pro pár procent uživatelů, a pokud nebudou problémy, postupně se zvýší až na 100 %. Jakmile budou pokryty USA, bude DoH zvažováno začlenění do dalších zemí.
Testy prováděné v průběhu roku prokázaly spolehlivost a dobrý výkon služby a také umožnily identifikovat některé situace, kdy DoH může vést k problémům, a vyvinout řešení, jak je obejít (např. s optimalizací provozu v sítích pro doručování obsahu, rodičovskou kontrolou a firemními interními zónami DNS).
Důležitost šifrování DNS provozu je hodnocena jako zásadně důležitý faktor ochrany uživatelů, proto bylo rozhodnuto povolit DoH standardně, ale v první fázi pouze pro uživatele ze Spojených států. Po aktivaci DoH uživatel obdrží varování, které v případě potřeby umožní odmítnout kontaktovat centralizované DoH DNS servery a vrátit se k tradičnímu schématu odesílání nešifrovaných požadavků na DNS server poskytovatele (namísto distribuované infrastruktury DNS resolverů, DoH používá vazbu na konkrétní službu DoH, kterou lze považovat za jediný bod selhání).
Je-li aktivováno DoH, mohou být narušeny systémy rodičovské kontroly a podnikové sítě, které k řešení intranetových adres a podnikových hostitelů používají pouze interní síťovou strukturu názvů DNS. Pro vyřešení problémů s takovými systémy byl přidán systém kontrol, který automaticky deaktivuje DoH. Kontroly se provádějí při každém spuštění prohlížeče nebo při zjištění změny podsítě.
K dispozici je také automatický návrat k používání standardního resolveru operačního systému, pokud dojde k selhání během rozlišení prostřednictvím DoH (například pokud je narušena dostupnost sítě u poskytovatele DoH nebo dojde k poruchám v jeho infrastruktuře). Smysl takových kontrol je sporný, protože nikdo nebrání útočníkům, kteří ovládají činnost resolveru nebo jsou schopni zasahovat do provozu, aby simulovali podobné chování a deaktivovali tak šifrování DNS provozu. Problém byl vyřešen přidáním položky “DoH always” do nastavení (tiše neaktivní), při nastavení se automatické vypínání neuplatní, což je rozumný kompromis.
K identifikaci podnikových překladačů se kontrolují atypické domény první úrovně (TLD) a systémový překladač vrací intranetové adresy. Chcete-li zjistit, zda je povolena rodičovská kontrola, provede se pokus o překlad názvu exampleadultsite.com a pokud výsledek neodpovídá skutečné adrese IP, má se za to, že blokování obsahu pro dospělé je aktivní na úrovni DNS. IP adresy Google a YouTube jsou také kontrolovány jako znaky, aby se zjistilo, zda nebyly nahrazeny adresamistrict.youtube.com, Forcesafesearch.google.com astrictmoderate.youtube.com. Další Mozilla implementovat jediného testovacího hostitele , který mohou poskytovatelé internetových služeb a služby rodičovské kontroly použít jako příznak k deaktivaci DoH (pokud hostitel není detekován, Firefox DoH deaktivuje).
Práce prostřednictvím jediné služby DoH může také potenciálně vést k problémům s optimalizací provozu v sítích pro doručování obsahu, které vyvažují provoz pomocí DNS (server DNS sítě CDN generuje odpověď s ohledem na adresu resolveru a poskytuje nejbližšímu hostiteli pro příjem obsahu). Odeslání dotazu DNS z překladače, který je nejblíže uživateli v takových sítích CDN, má za následek vrácení adresy hostitele, který je uživateli nejblíže, ale odeslání dotazu DNS z centralizovaného překladače vrátí adresu hostitele nejblíže serveru DNS-over-HTTPS. . Testování v praxi ukázalo, že použití DNS-over-HTTP při použití CDN nevedlo prakticky k žádným zpožděním před zahájením přenosu obsahu (u rychlých připojení nepřesáhla zpoždění 10 milisekund a na pomalých komunikačních kanálech byl pozorován ještě rychlejší výkon ). Uvažovalo se také o použití rozšíření EDNS Client Subnet pro poskytování informací o umístění klienta do CDN resolveru.
Připomeňme, že DoH může být užitečné pro zamezení úniku informací o požadovaných hostitelských názvech přes DNS servery poskytovatelů, potírání MITM útoků a falšování DNS provozu, zamezení blokování na úrovni DNS nebo pro organizaci práce v případě, že není možné přímo přistupovat k serverům DNS (například při práci přes proxy). Pokud jsou za normální situace požadavky DNS odesílány přímo na servery DNS definované v konfiguraci systému, pak v případě DoH je požadavek na určení IP adresy hostitele zapouzdřen v HTTPS provozu a odeslán na HTTP server, kde resolver zpracovává požadavky prostřednictvím webového rozhraní API. Stávající standard DNSSEC používá šifrování pouze k ověření klienta a serveru, ale nechrání provoz před zachycením a nezaručuje důvěrnost požadavků.
Chcete-li povolit DoH v about:config, musíte změnit hodnotu proměnné network.trr.mode, která je podporována od Firefoxu 60. Hodnota 0 zcela deaktivuje DoH; 1 - používá se DNS nebo DoH, podle toho, co je rychlejší; 2 - Ve výchozím nastavení se používá DoH a jako záložní možnost se používá DNS; 3 - používá se pouze DoH; 4 - režim zrcadlení, ve kterém se paralelně používají DoH a DNS. Ve výchozím nastavení se používá CloudFlare DNS server, ale lze jej změnit pomocí parametru network.trr.uri, například můžete nastavit „https://dns.google.com/experimental“ nebo „https://9.9.9.9 .XNUMX/dns-query"
Zdroj: opennet.ru