Firefox-Entwickler über den Abschluss der Testunterstützung für DNS über HTTPS (DoH, DNS über HTTPS) und die Absicht, diese Technologie Ende September standardmäßig für US-Benutzer zu aktivieren. Die Aktivierung erfolgt schrittweise, zunächst für einige Prozent der Nutzer, und wenn keine Probleme auftreten, schrittweise auf 100 %. Sobald die USA abgedeckt sind, wird die Einbeziehung von DoH in andere Länder in Betracht gezogen.
Die im Laufe des Jahres durchgeführten Tests zeigten die Zuverlässigkeit und gute Leistung des Dienstes und ermöglichten es auch, einige Situationen zu identifizieren, in denen DoH zu Problemen führen kann, und Lösungen zu entwickeln, um diese zu umgehen (z. B. Demontage). mit Traffic-Optimierung in Content-Delivery-Netzwerken, Kindersicherung und unternehmensinternen DNS-Zonen).
Die Bedeutung der Verschlüsselung des DNS-Verkehrs wird als grundlegend wichtiger Faktor für den Schutz der Benutzer eingestuft. Daher wurde beschlossen, DoH standardmäßig zu aktivieren, zunächst jedoch nur für Benutzer aus den USA. Nach der Aktivierung von DoH erhält der Benutzer eine Warnung, die es ihm auf Wunsch ermöglicht, die Kontaktaufnahme mit zentralisierten DoH-DNS-Servern zu verweigern und zum traditionellen Schema zurückzukehren, bei dem unverschlüsselte Anfragen an den DNS-Server des Anbieters gesendet werden (anstelle einer verteilten Infrastruktur von DNS-Resolvern). DoH verwendet die Bindung an einen bestimmten DoH-Dienst, der als Single Point of Failure betrachtet werden kann.
Wenn DoH aktiviert ist, können Kindersicherungssysteme und Unternehmensnetzwerke, die die interne Netzwerk-Nur-DNS-Namensstruktur zur Auflösung von Intranetadressen und Unternehmenshosts verwenden, gestört werden. Um Probleme mit solchen Systemen zu lösen, wurde ein Prüfsystem hinzugefügt, das DoH automatisch deaktiviert. Überprüfungen werden jedes Mal durchgeführt, wenn der Browser gestartet wird oder wenn eine Subnetzänderung erkannt wird.
Eine automatische Rückkehr zur Nutzung des Standard-Betriebssystem-Resolvers ist auch dann gewährleistet, wenn bei der Auflösung über DoH Fehler auftreten (z. B. wenn die Netzwerkverfügbarkeit beim DoH-Anbieter gestört ist oder Ausfälle in seiner Infrastruktur auftreten). Der Sinn solcher Kontrollen ist fraglich, denn niemand hindert Angreifer, die den Betrieb des Resolvers kontrollieren oder in den Datenverkehr eingreifen können, daran, ein ähnliches Verhalten zu simulieren, um die Verschlüsselung des DNS-Verkehrs zu deaktivieren. Das Problem wurde gelöst, indem das Element „DoH immer“ zu den Einstellungen hinzugefügt wurde (stillschweigend inaktiv). Wenn diese Einstellung aktiviert ist, wird das automatische Herunterfahren nicht angewendet, was einen vernünftigen Kompromiss darstellt.
Um Unternehmensresolver zu identifizieren, werden atypische First-Level-Domains (TLDs) überprüft und der Systemresolver gibt Intranetadressen zurück. Um festzustellen, ob die Kindersicherung aktiviert ist, wird versucht, den Namen exampleadultsite.com aufzulösen. Wenn das Ergebnis nicht mit der tatsächlichen IP übereinstimmt, wird davon ausgegangen, dass die Blockierung von Inhalten für Erwachsene auf DNS-Ebene aktiv ist. Als Zeichen werden auch die IP-Adressen von Google und YouTube überprüft, um festzustellen, ob diese durch „restrict.youtube.com“, „forcesafesearch.google.com“ und „restrictmoderate.youtube.com“ ersetzt wurden. Zusätzliches Mozilla Implementieren Sie einen einzelnen Testhost , das ISPs und Kindersicherungsdienste als Flag zum Deaktivieren von DoH verwenden können (wenn der Host nicht erkannt wird, deaktiviert Firefox DoH).
Die Arbeit über einen einzelnen DoH-Dienst kann möglicherweise auch zu Problemen bei der Verkehrsoptimierung in Content-Delivery-Netzwerken führen, die den Verkehr mithilfe von DNS ausgleichen (der DNS-Server des CDN-Netzwerks generiert eine Antwort unter Berücksichtigung der Resolver-Adresse und stellt den nächstgelegenen Host zum Empfang des Inhalts bereit). Das Senden einer DNS-Anfrage von dem Resolver, der dem Benutzer in solchen CDNs am nächsten ist, führt dazu, dass die Adresse des Hosts zurückgegeben wird, der dem Benutzer am nächsten ist. Wenn Sie jedoch eine DNS-Anfrage von einem zentralen Resolver senden, wird die Hostadresse zurückgegeben, die dem DNS-over-HTTPS-Server am nächsten liegt . Tests in der Praxis zeigten, dass die Verwendung von DNS-over-HTTP bei Verwendung eines CDN praktisch zu keinen Verzögerungen vor dem Beginn der Inhaltsübertragung führte (bei schnellen Verbindungen betrugen die Verzögerungen nicht mehr als 10 Millisekunden, und auf langsamen Kommunikationskanälen wurde eine noch schnellere Leistung beobachtet ). Die Verwendung der EDNS-Client-Subnetzerweiterung wurde auch in Betracht gezogen, um dem CDN-Resolver Client-Standortinformationen bereitzustellen.
Erinnern wir uns daran, dass DoH nützlich sein kann, um das Durchsickern von Informationen über die angeforderten Hostnamen über die DNS-Server von Anbietern zu verhindern, MITM-Angriffe und Spoofing des DNS-Verkehrs zu bekämpfen, Blockierungen auf DNS-Ebene entgegenzuwirken oder die Arbeit zu organisieren, falls dies der Fall ist Es ist nicht möglich, direkt auf DNS-Server zuzugreifen (z. B. wenn Sie über einen Proxy arbeiten). Wenn in einer normalen Situation DNS-Anfragen direkt an in der Systemkonfiguration definierte DNS-Server gesendet werden, wird im Fall von DoH die Anfrage zur Ermittlung der IP-Adresse des Hosts im HTTPS-Verkehr gekapselt und an den HTTP-Server gesendet, wo der Resolver die Verarbeitung durchführt Anfragen über die Web-API. Der bestehende DNSSEC-Standard verwendet Verschlüsselung nur zur Authentifizierung von Client und Server, schützt den Datenverkehr jedoch nicht vor dem Abfangen und garantiert nicht die Vertraulichkeit von Anfragen.
Um DoH in about:config zu aktivieren, müssen Sie den Wert der Variable network.trr.mode ändern, die seit Firefox 60 unterstützt wird. Ein Wert von 0 deaktiviert DoH vollständig; 1 – Es wird DNS oder DoH verwendet, je nachdem, was schneller ist; 2 – DoH wird standardmäßig verwendet und DNS wird als Fallback-Option verwendet; 3 – nur DoH wird verwendet; 4 – Spiegelungsmodus, bei dem DoH und DNS parallel verwendet werden. Standardmäßig wird der CloudFlare-DNS-Server verwendet, er kann jedoch über den Parameter network.trr.uri geändert werden, Sie können beispielsweise „https://dns.google.com/experimental“ oder „https://9.9.9.9“ festlegen .XNUMX/dns-query "
Source: opennet.ru