Firefox-Entwickler Informationen zur standardmäßigen Aktivierung des DNS-über-HTTPS-Modus (DoH, DNS über HTTPS) für US-Benutzer. Die Verschlüsselung des DNS-Verkehrs gilt als grundlegend wichtiger Faktor zum Schutz der Benutzer. Ab heute ist bei allen Neuinstallationen durch US-Benutzer standardmäßig DoH aktiviert. Bestehende US-Benutzer sollen innerhalb weniger Wochen auf DoH umgestellt werden. In der Europäischen Union und anderen Ländern ist DoH vorerst standardmäßig aktiviert .
Nach der Aktivierung von DoH wird dem Benutzer eine Warnung angezeigt, die es ihm auf Wunsch ermöglicht, die Kontaktaufnahme mit zentralen DoH-DNS-Servern zu verweigern und zum traditionellen Schema des Sendens unverschlüsselter Abfragen an den DNS-Server des Anbieters zurückzukehren. Anstelle einer verteilten Infrastruktur von DNS-Resolvern verwendet DoH eine Bindung an einen bestimmten DoH-Dienst, der als Single Point of Failure betrachtet werden kann. Derzeit wird die Arbeit über zwei DNS-Anbieter angeboten – CloudFlare (Standard) und .
Wechseln Sie den Anbieter oder deaktivieren Sie DoH in den Netzwerkverbindungseinstellungen. Sie können beispielsweise einen alternativen DoH-Server „https://dns.google/dns-query“ für den Zugriff auf Google-Server, „https://dns.quad9.net/dns-query“ – Quad9 und „https:/“ angeben. /doh .opendns.com/dns-query“ – OpenDNS. About:config bietet auch die Einstellung network.trr.mode, mit der Sie den DoH-Betriebsmodus ändern können: Ein Wert von 0 deaktiviert DoH vollständig; 1 – Es wird DNS oder DoH verwendet, je nachdem, was schneller ist; 2 – DoH wird standardmäßig verwendet und DNS wird als Fallback-Option verwendet; 3 – nur DoH wird verwendet; 4 – Spiegelungsmodus, bei dem DoH und DNS parallel verwendet werden.
Erinnern wir uns daran, dass DoH nützlich sein kann, um das Durchsickern von Informationen über die angeforderten Hostnamen über die DNS-Server von Anbietern zu verhindern, MITM-Angriffe und DNS-Traffic-Spoofing (z. B. beim Herstellen einer Verbindung zu öffentlichem WLAN) zu bekämpfen und Blockaden im DNS entgegenzuwirken Ebene (DoH kann ein VPN im Bereich der Umgehung der auf DPI-Ebene implementierten Blockierung nicht ersetzen) oder zur Arbeitsorganisation, wenn ein direkter Zugriff auf DNS-Server nicht möglich ist (z. B. bei der Arbeit über einen Proxy). Wenn in einer normalen Situation DNS-Anfragen direkt an in der Systemkonfiguration definierte DNS-Server gesendet werden, wird im Fall von DoH die Anfrage zur Ermittlung der IP-Adresse des Hosts im HTTPS-Verkehr gekapselt und an den HTTP-Server gesendet, wo der Resolver die Verarbeitung durchführt Anfragen über die Web-API. Der bestehende DNSSEC-Standard verwendet Verschlüsselung nur zur Authentifizierung von Client und Server, schützt den Datenverkehr jedoch nicht vor dem Abfangen und garantiert nicht die Vertraulichkeit von Anfragen.
Um die in Firefox angebotenen DoH-Anbieter auszuwählen, an vertrauenswürdige DNS-Resolver, wonach der DNS-Betreiber die zur Auflösung erhaltenen Daten nur zur Gewährleistung des Betriebs des Dienstes verwenden darf, Protokolle nicht länger als 24 Stunden speichern darf, keine Daten an Dritte weitergeben darf und zur Offenlegung von Informationen verpflichtet ist Datenverarbeitungsmethoden. Der Dienst muss außerdem zustimmen, den DNS-Verkehr nicht zu zensieren, zu filtern, zu stören oder zu blockieren, außer in den gesetzlich vorgesehenen Situationen.
DoH sollte mit Vorsicht verwendet werden. In der Russischen Föderation sind beispielsweise die IP-Adressen 104.16.248.249 und 104.16.249.249 mit dem in Firefox angebotenen Standard-DoH-Server mozilla.cloudflare-dns.com verknüpft. в auf Antrag des Gerichts Stawropol vom 10.06.2013. Juni XNUMX.
DoH kann auch Probleme in Bereichen wie Kindersicherungssystemen, Zugriff auf interne Namensräume in Unternehmenssystemen, Routenauswahl in Systemen zur Optimierung der Inhaltsbereitstellung und Einhaltung von Gerichtsbeschlüssen im Bereich der Bekämpfung der Verbreitung illegaler Inhalte und der Ausbeutung von Inhalten verursachen Minderjährige. Um solche Probleme zu umgehen, wurde ein Prüfsystem implementiert und getestet, das DoH unter bestimmten Bedingungen automatisch deaktiviert.
Um Unternehmensresolver zu identifizieren, werden atypische First-Level-Domains (TLDs) überprüft und der Systemresolver gibt Intranetadressen zurück. Um festzustellen, ob die Kindersicherung aktiviert ist, wird versucht, den Namen exampleadultsite.com aufzulösen. Wenn das Ergebnis nicht mit der tatsächlichen IP übereinstimmt, wird davon ausgegangen, dass die Blockierung von Inhalten für Erwachsene auf DNS-Ebene aktiv ist. Als Anzeichen dafür werden auch die IP-Adressen von Google und YouTube überprüft, um festzustellen, ob sie durch „restrict.youtube.com“, „forcesafesearch.google.com“ und „restrictmoderate.youtube.com“ ersetzt wurden. Diese Überprüfungen ermöglichen es Angreifern, die den Betrieb des Resolvers kontrollieren oder den Datenverkehr stören können, ein solches Verhalten zu simulieren und die Verschlüsselung des DNS-Datenverkehrs zu deaktivieren.
Die Arbeit über einen einzelnen DoH-Dienst kann möglicherweise auch zu Problemen bei der Verkehrsoptimierung in Content-Delivery-Netzwerken führen, die den Verkehr mithilfe von DNS ausgleichen (der DNS-Server des CDN-Netzwerks generiert eine Antwort unter Berücksichtigung der Resolver-Adresse und stellt den nächstgelegenen Host zum Empfang des Inhalts bereit). Das Senden einer DNS-Anfrage von dem Resolver, der dem Benutzer in solchen CDNs am nächsten ist, führt dazu, dass die Adresse des Hosts zurückgegeben wird, der dem Benutzer am nächsten ist. Wenn Sie jedoch eine DNS-Anfrage von einem zentralen Resolver senden, wird die Hostadresse zurückgegeben, die dem DNS-over-HTTPS-Server am nächsten liegt . Tests in der Praxis zeigten, dass die Verwendung von DNS-over-HTTP bei Verwendung eines CDN praktisch zu keinen Verzögerungen vor dem Beginn der Inhaltsübertragung führte (bei schnellen Verbindungen betrugen die Verzögerungen nicht mehr als 10 Millisekunden, und auf langsamen Kommunikationskanälen wurde eine noch schnellere Leistung beobachtet ). Die Verwendung der EDNS-Client-Subnetzerweiterung wurde auch in Betracht gezogen, um dem CDN-Resolver Client-Standortinformationen bereitzustellen.
Source: opennet.ru