Firefox udviklere om færdiggørelsen af testunderstøttelse af DNS over HTTPS (DoH, DNS over HTTPS) og intentionen om at aktivere denne teknologi som standard for amerikanske brugere i slutningen af september. Aktiveringen vil blive udført gradvist, i første omgang for nogle få procent af brugerne, og hvis der ikke er problemer, gradvist stigende til 100%. Når USA er dækket, vil DoH blive overvejet for inklusion i andre lande.
Test udført i løbet af året viste tjenestens pålidelighed og gode ydeevne og gjorde det også muligt at identificere nogle situationer, hvor DoH kan føre til problemer og udvikle løsninger til at omgå dem (f.eks. adskilte med trafikoptimering i indholdsleveringsnetværk, forældrekontrol og virksomhedens interne DNS-zoner).
Vigtigheden af at kryptere DNS-trafik vurderes som en fundamentalt vigtig faktor for at beskytte brugerne, så det blev besluttet at aktivere DoH som standard, men i første fase kun for brugere fra USA. Efter aktivering af DoH vil brugeren modtage en advarsel, der om ønsket giver mulighed for at nægte at kontakte centraliserede DoH DNS-servere og vende tilbage til den traditionelle ordning med at sende ukrypterede anmodninger til udbyderens DNS-server (i stedet for en distribueret infrastruktur af DNS-resolvere, DoH bruger binding til en specifik DoH-tjeneste, som kan betragtes som et enkelt fejlpunkt).
Hvis DoH er aktiveret, kan forældrekontrolsystemer og virksomhedsnetværk, der bruger den interne netværks-kun DNS-navnestruktur til at løse intranetadresser og virksomhedsværter, blive forstyrret. For at løse problemer med sådanne systemer er der tilføjet et kontrolsystem, der automatisk deaktiverer DoH. Kontrol udføres, hver gang browseren startes, eller når der registreres en subnetændring.
En automatisk tilbagevenden til at bruge standardoperativsystem-resolveren leveres også, hvis der opstår fejl under løsning via DoH (f.eks. hvis netværkstilgængeligheden hos DoH-udbyderen afbrydes, eller der opstår fejl i dens infrastruktur). Betydningen af sådanne kontroller er tvivlsom, da ingen forhindrer angribere, der kontrollerer driften af resolveren eller er i stand til at forstyrre trafik, i at simulere lignende adfærd for at deaktivere kryptering af DNS-trafik. Problemet blev løst ved at tilføje "DoH altid"-elementet til indstillingerne (lydløst inaktivt), når det er indstillet, anvendes automatisk nedlukning ikke, hvilket er et rimeligt kompromis.
For at identificere virksomhedsresolvere kontrolleres atypiske first-level domæner (TLD'er), og systemresolveren returnerer intranetadresser. For at afgøre, om forældrekontrol er aktiveret, gøres et forsøg på at løse navnet exampleadultsite.com, og hvis resultatet ikke stemmer overens med den faktiske IP, anses det for, at blokering af voksenindhold er aktiv på DNS-niveau. Google og YouTube IP-adresser kontrolleres også som tegn for at se, om de er blevet erstattet af restrict.youtube.com, forcesafesearch.google.com og restrictmoderate.youtube.com. Yderligere Mozilla implementere en enkelt testvært , som internetudbydere og forældrekontroltjenester kan bruge som et flag til at deaktivere DoH (hvis værten ikke registreres, deaktiverer Firefox DoH).
At arbejde gennem en enkelt DoH-tjeneste kan også potentielt føre til problemer med trafikoptimering i indholdsleveringsnetværk, der balancerer trafik ved hjælp af DNS (CDN-netværkets DNS-server genererer et svar under hensyntagen til resolveradressen og giver den nærmeste vært til at modtage indholdet). Afsendelse af en DNS-forespørgsel fra den resolver, der er tættest på brugeren i sådanne CDN'er, resulterer i at returnere adressen på den vært, der er tættest på brugeren, men afsendelse af en DNS-forespørgsel fra en centraliseret resolver vil returnere værtsadressen tættest på DNS-over-HTTPS-serveren . Test i praksis viste, at brugen af DNS-over-HTTP ved brug af et CDN førte til praktisk talt ingen forsinkelser før starten af indholdsoverførsel (for hurtige forbindelser oversteg forsinkelserne ikke 10 millisekunder, og der blev observeret endnu hurtigere ydeevne på langsomme kommunikationskanaler ). Brugen af EDNS Client Subnet-udvidelsen blev også overvejet at give klientplaceringsoplysninger til CDN-resolveren.
Lad os huske på, at DoH kan være nyttigt til at forhindre læk af information om de anmodede værtsnavne gennem udbydernes DNS-servere, bekæmpe MITM-angreb og spoofing af DNS-trafik, modvirke blokering på DNS-niveau eller til at organisere arbejdet i tilfælde af, at det er umuligt at få direkte adgang til DNS-servere (f.eks. når du arbejder gennem en proxy). Hvis DNS-anmodninger i en normal situation sendes direkte til DNS-servere defineret i systemkonfigurationen, så i tilfælde af DoH, indkapsles anmodningen om at bestemme værtens IP-adresse i HTTPS-trafik og sendes til HTTP-serveren, hvor resolveren behandler anmodninger via Web API. Den eksisterende DNSSEC-standard bruger kun kryptering til at autentificere klienten og serveren, men beskytter ikke trafik mod aflytning og garanterer ikke fortroligheden af anmodninger.
For at aktivere DoH i about:config skal du ændre værdien af variablen network.trr.mode, som er blevet understøttet siden Firefox 60. En værdi på 0 deaktiverer DoH fuldstændigt; 1 - DNS eller DoH bruges, alt efter hvad der er hurtigst; 2 - DoH bruges som standard, og DNS bruges som en reservemulighed; 3 - kun DoH bruges; 4 - spejlingstilstand, hvor DoH og DNS bruges parallelt. Som standard bruges CloudFlare DNS-serveren, men den kan ændres via parameteren network.trr.uri, for eksempel kan du indstille "https://dns.google.com/experimental" eller "https://9.9.9.9 .XNUMX/dns-forespørgsel "
Kilde: opennet.ru