Firefox udviklere om at aktivere DNS over HTTPS (DoH, DNS over HTTPS) tilstand som standard for amerikanske brugere. Kryptering af DNS-trafik betragtes som en fundamentalt vigtig faktor i beskyttelsen af brugere. Fra i dag vil alle nye installationer af amerikanske brugere have DoH aktiveret som standard. Eksisterende amerikanske brugere er planlagt til at blive skiftet til DoH inden for et par uger. I EU og andre lande skal du aktivere DoH som standard indtil videre .
Efter aktivering af DoH vises en advarsel til brugeren, som om ønsket giver mulighed for at nægte at kontakte centraliserede DoH DNS-servere og vende tilbage til den traditionelle ordning med at sende ukrypterede forespørgsler til udbyderens DNS-server. I stedet for en distribueret infrastruktur af DNS-resolvere, bruger DoH en binding til en specifik DoH-tjeneste, som kan betragtes som et enkelt fejlpunkt. I øjeblikket tilbydes arbejde gennem to DNS-udbydere - CloudFlare (standard) og .
Skift udbyder eller deaktiver DoH i netværksforbindelsesindstillingerne. For eksempel kan du angive en alternativ DoH-server "https://dns.google/dns-query" for at få adgang til Google-servere, "https://dns.quad9.net/dns-query" - Quad9 og "https:/ /doh .opendns.com/dns-query" - OpenDNS. About:config giver også network.trr.mode-indstillingen, hvorigennem du kan ændre DoH-driftstilstanden: en værdi på 0 deaktiverer DoH fuldstændigt; 1 - DNS eller DoH bruges, alt efter hvad der er hurtigst; 2 - DoH bruges som standard, og DNS bruges som en reservemulighed; 3 - kun DoH bruges; 4 - spejlingstilstand, hvor DoH og DNS bruges parallelt.
Lad os huske på, at DoH kan være nyttigt til at forhindre læk af information om de anmodede værtsnavne gennem udbydernes DNS-servere, bekæmpe MITM-angreb og DNS-trafik-spoofing (for eksempel ved tilslutning til offentlig Wi-Fi), modvirke blokering på DNS. niveau (DoH kan ikke erstatte en VPN i området for omgåelse af blokering implementeret på DPI-niveau) eller til at organisere arbejde, hvis det er umuligt at få direkte adgang til DNS-servere (f.eks. når du arbejder gennem en proxy). Hvis DNS-anmodninger i en normal situation sendes direkte til DNS-servere defineret i systemkonfigurationen, så i tilfælde af DoH, indkapsles anmodningen om at bestemme værtens IP-adresse i HTTPS-trafik og sendes til HTTP-serveren, hvor resolveren behandler anmodninger via Web API. Den eksisterende DNSSEC-standard bruger kun kryptering til at autentificere klienten og serveren, men beskytter ikke trafik mod aflytning og garanterer ikke fortroligheden af anmodninger.
For at vælge de DoH-udbydere, der tilbydes i Firefox, til troværdige DNS-resolvere, hvorefter DNS-operatøren kun kan bruge de modtagne data til opløsning til at sikre driften af tjenesten, ikke må gemme logs i mere end 24 timer, ikke kan overføre data til tredjemand og er forpligtet til at videregive oplysninger vedr. databehandlingsmetoder. Tjenesten skal også acceptere ikke at censurere, filtrere, forstyrre eller blokere DNS-trafik, undtagen i situationer, der er fastsat ved lov.
DoH bør bruges med forsigtighed. For eksempel i Den Russiske Føderation, IP-adresser 104.16.248.249 og 104.16.249.249 forbundet med standard DoH-serveren mozilla.cloudflare-dns.com, der tilbydes i Firefox, в efter anmodning fra Stavropol-domstolen af 10.06.2013. juni XNUMX.
DoH kan også forårsage problemer på områder som forældrekontrolsystemer, adgang til interne navnerum i virksomhedssystemer, rutevalg i optimeringssystemer for indholdslevering og overholdelse af retskendelser inden for bekæmpelse af distribution af ulovligt indhold og udnyttelse af mindreårige. For at omgå sådanne problemer er der implementeret og testet et kontrolsystem, der automatisk deaktiverer DoH under visse betingelser.
For at identificere virksomhedsresolvere kontrolleres atypiske first-level domæner (TLD'er), og systemresolveren returnerer intranetadresser. For at afgøre, om forældrekontrol er aktiveret, gøres et forsøg på at løse navnet exampleadultsite.com, og hvis resultatet ikke stemmer overens med den faktiske IP, anses det for, at blokering af voksenindhold er aktiv på DNS-niveau. Google og YouTube IP-adresser kontrolleres også som tegn for at se, om de er blevet erstattet af restrict.youtube.com, forcesafesearch.google.com og restrictmoderate.youtube.com. Disse kontroller gør det muligt for angribere, der kontrollerer driften af resolveren eller er i stand til at forstyrre trafikken, at simulere en sådan adfærd for at deaktivere kryptering af DNS-trafik.
At arbejde gennem en enkelt DoH-tjeneste kan også potentielt føre til problemer med trafikoptimering i indholdsleveringsnetværk, der balancerer trafik ved hjælp af DNS (CDN-netværkets DNS-server genererer et svar under hensyntagen til resolveradressen og giver den nærmeste vært til at modtage indholdet). Afsendelse af en DNS-forespørgsel fra den resolver, der er tættest på brugeren i sådanne CDN'er, resulterer i at returnere adressen på den vært, der er tættest på brugeren, men afsendelse af en DNS-forespørgsel fra en centraliseret resolver vil returnere værtsadressen tættest på DNS-over-HTTPS-serveren . Test i praksis viste, at brugen af DNS-over-HTTP ved brug af et CDN førte til praktisk talt ingen forsinkelser før starten af indholdsoverførsel (for hurtige forbindelser oversteg forsinkelserne ikke 10 millisekunder, og der blev observeret endnu hurtigere ydeevne på langsomme kommunikationskanaler ). Brugen af EDNS Client Subnet-udvidelsen blev også overvejet at give klientplaceringsoplysninger til CDN-resolveren.
Kilde: opennet.ru