Προγραμματιστές Firefox σχετικά με την ενεργοποίηση της λειτουργίας DNS μέσω HTTPS (DoH, DNS μέσω HTTPS) από προεπιλογή για χρήστες των ΗΠΑ. Η κρυπτογράφηση της κίνησης DNS θεωρείται θεμελιωδώς σημαντικός παράγοντας για την προστασία των χρηστών. Από σήμερα, όλες οι νέες εγκαταστάσεις από χρήστες των ΗΠΑ θα έχουν ενεργοποιημένο το DoH από προεπιλογή. Οι υφιστάμενοι χρήστες των ΗΠΑ έχει προγραμματιστεί να μεταβούν στο DoH εντός λίγων εβδομάδων. Στην Ευρωπαϊκή Ένωση και σε άλλες χώρες, ενεργοποιήστε το DoH από προεπιλογή προς το παρόν .
Μετά την ενεργοποίηση DoH, εμφανίζεται μια προειδοποίηση στον χρήστη, η οποία επιτρέπει, εάν το επιθυμεί, να αρνηθεί να επικοινωνήσει με κεντρικούς διακομιστές DoH DNS και να επιστρέψει στο παραδοσιακό σχήμα αποστολής μη κρυπτογραφημένων ερωτημάτων στον διακομιστή DNS του παρόχου. Αντί για μια κατανεμημένη υποδομή αναλυτών DNS, το DoH χρησιμοποιεί μια σύνδεση σε μια συγκεκριμένη υπηρεσία DoH, η οποία μπορεί να θεωρηθεί ως ένα μόνο σημείο αποτυχίας. Επί του παρόντος, η εργασία προσφέρεται μέσω δύο παρόχων DNS - CloudFlare (προεπιλογή) και .
Αλλάξτε πάροχο ή απενεργοποιήστε το DoH στις ρυθμίσεις σύνδεσης δικτύου. Για παράδειγμα, μπορείτε να καθορίσετε έναν εναλλακτικό διακομιστή DoH "https://dns.google/dns-query" για πρόσβαση σε διακομιστές Google, "https://dns.quad9.net/dns-query" - Quad9 και "https:/ /doh .opendns.com/dns-query" - OpenDNS. Το About:config παρέχει επίσης τη ρύθμιση network.trr.mode, μέσω της οποίας μπορείτε να αλλάξετε τον τρόπο λειτουργίας DoH: η τιμή 0 απενεργοποιεί πλήρως το DoH. 1 - Χρησιμοποιείται DNS ή DoH, όποιο είναι ταχύτερο. 2 - Το DoH χρησιμοποιείται από προεπιλογή και το DNS χρησιμοποιείται ως εναλλακτική επιλογή. 3 - χρησιμοποιείται μόνο DoH. 4 - λειτουργία κατοπτρισμού στην οποία χρησιμοποιούνται παράλληλα DoH και DNS.
Ας υπενθυμίσουμε ότι το DoH μπορεί να είναι χρήσιμο για την αποτροπή διαρροών πληροφοριών σχετικά με τα ζητούμενα ονόματα κεντρικών υπολογιστών μέσω των διακομιστών DNS των παρόχων, την καταπολέμηση των επιθέσεων MITM και της πλαστογράφησης της κυκλοφορίας DNS (για παράδειγμα, κατά τη σύνδεση σε δημόσιο Wi-Fi), την αντιμετώπιση του αποκλεισμού στο DNS επίπεδο (Το DoH δεν μπορεί να αντικαταστήσει ένα VPN στην περιοχή της παράκαμψης αποκλεισμού που εφαρμόζεται σε επίπεδο DPI) ή για την οργάνωση εργασίας εάν είναι αδύνατη η άμεση πρόσβαση σε διακομιστές DNS (για παράδειγμα, όταν εργάζεστε μέσω διακομιστή μεσολάβησης). Εάν σε μια κανονική κατάσταση τα αιτήματα DNS αποστέλλονται απευθείας σε διακομιστές DNS που ορίζονται στη διαμόρφωση του συστήματος, τότε στην περίπτωση του DoH, το αίτημα για τον προσδιορισμό της διεύθυνσης IP του κεντρικού υπολογιστή ενσωματώνεται στην κυκλοφορία HTTPS και αποστέλλεται στον διακομιστή HTTP, όπου επεξεργάζεται ο επιλύτης αιτήματα μέσω του Web API. Το υπάρχον πρότυπο DNSSEC χρησιμοποιεί κρυπτογράφηση μόνο για τον έλεγχο ταυτότητας του πελάτη και του διακομιστή, αλλά δεν προστατεύει την κυκλοφορία από την παρακολούθηση και δεν εγγυάται την εμπιστευτικότητα των αιτημάτων.
Για να επιλέξετε τους παρόχους DoH που προσφέρονται στον Firefox, σε αξιόπιστους επιλύτες DNS, σύμφωνα με τους οποίους ο χειριστής DNS μπορεί να χρησιμοποιήσει τα δεδομένα που έλαβε για επίλυση μόνο για να διασφαλίσει τη λειτουργία της υπηρεσίας, δεν πρέπει να αποθηκεύει αρχεία καταγραφής για περισσότερες από 24 ώρες, δεν μπορεί να μεταφέρει δεδομένα σε τρίτους και είναι υποχρεωμένος να αποκαλύψει πληροφορίες σχετικά με μεθόδους επεξεργασίας δεδομένων. Η υπηρεσία πρέπει επίσης να συμφωνήσει να μην λογοκρίνει, φιλτράρει, παρεμβαίνει ή αποκλείει την κυκλοφορία DNS, εκτός από περιπτώσεις που προβλέπονται από τη νομοθεσία.
Το DoH θα πρέπει να χρησιμοποιείται με προσοχή. Για παράδειγμα, στη Ρωσική Ομοσπονδία, οι διευθύνσεις IP 104.16.248.249 και 104.16.249.249 που σχετίζονται με τον προεπιλεγμένο διακομιστή DoH mozilla.cloudflare-dns.com που προσφέρεται στον Firefox, в κατόπιν αιτήματος του δικαστηρίου της Σταυρούπολης με ημερομηνία 10.06.2013 Ιουνίου XNUMX.
Το DoH μπορεί επίσης να προκαλέσει προβλήματα σε τομείς όπως τα συστήματα γονικού ελέγχου, η πρόσβαση σε εσωτερικούς χώρους ονομάτων στα εταιρικά συστήματα, η επιλογή δρομολογίων στα συστήματα βελτιστοποίησης παράδοσης περιεχομένου και η συμμόρφωση με δικαστικές εντολές στον τομέα της καταπολέμησης της διανομής παράνομου περιεχομένου και της εκμετάλλευσης ανήλικοι. Για την παράκαμψη τέτοιων προβλημάτων, έχει εφαρμοστεί και δοκιμαστεί ένα σύστημα ελέγχου που απενεργοποιεί αυτόματα το DoH υπό ορισμένες συνθήκες.
Για τον εντοπισμό εταιρικών λύσεων, ελέγχονται οι άτυποι τομείς πρώτου επιπέδου (TLD) και το πρόγραμμα επίλυσης συστήματος επιστρέφει διευθύνσεις intranet. Για να προσδιοριστεί εάν είναι ενεργοποιημένοι οι γονικοί έλεγχοι, γίνεται προσπάθεια επίλυσης του ονόματος exampleadultsite.com και εάν το αποτέλεσμα δεν ταιριάζει με την πραγματική IP, θεωρείται ότι ο αποκλεισμός περιεχομένου για ενηλίκους είναι ενεργός σε επίπεδο DNS. Οι διευθύνσεις IP της Google και του YouTube ελέγχονται επίσης ως πινακίδες για να διαπιστωθεί εάν έχουν αντικατασταθεί από τα limited.youtube.com, forceafesearch.google.com και limitedmoderate.youtube.com. Αυτοί οι έλεγχοι επιτρέπουν στους εισβολείς που ελέγχουν τη λειτουργία του προγράμματος επίλυσης ή είναι ικανοί να παρεμβαίνουν στην κυκλοφορία να προσομοιώσουν μια τέτοια συμπεριφορά για να απενεργοποιήσουν την κρυπτογράφηση της κυκλοφορίας DNS.
Η εργασία μέσω μιας μεμονωμένης υπηρεσίας DoH μπορεί επίσης να οδηγήσει σε προβλήματα με τη βελτιστοποίηση της κυκλοφορίας σε δίκτυα παράδοσης περιεχομένου που εξισορροπούν την κίνηση χρησιμοποιώντας DNS (ο διακομιστής DNS του δικτύου CDN δημιουργεί μια απόκριση λαμβάνοντας υπόψη τη διεύθυνση επίλυσης και παρέχει τον πλησιέστερο κεντρικό υπολογιστή για λήψη του περιεχομένου). Η αποστολή ενός ερωτήματος DNS από τον επιλύτη που βρίσκεται πλησιέστερα στον χρήστη σε τέτοια CDN έχει ως αποτέλεσμα την επιστροφή της διεύθυνσης του πλησιέστερου κεντρικού υπολογιστή στον χρήστη, αλλά η αποστολή ενός ερωτήματος DNS από ένα κεντρικό πρόγραμμα επίλυσης θα επιστρέψει τη διεύθυνση κεντρικού υπολογιστή που βρίσκεται πλησιέστερα στον διακομιστή DNS-over-HTTPS . Η δοκιμή στην πράξη έδειξε ότι η χρήση του DNS-over-HTTP κατά τη χρήση ενός CDN οδήγησε σε ουσιαστικά καμία καθυστέρηση πριν από την έναρξη της μεταφοράς περιεχομένου (για γρήγορες συνδέσεις, οι καθυστερήσεις δεν ξεπέρασαν τα 10 χιλιοστά του δευτερολέπτου και ακόμη πιο γρήγορη απόδοση παρατηρήθηκε σε αργά κανάλια επικοινωνίας ). Η χρήση της επέκτασης υποδικτύου πελάτη EDNS θεωρήθηκε επίσης ότι παρέχει πληροφορίες τοποθεσίας πελάτη στο πρόγραμμα επίλυσης CDN.
Πηγή: opennet.ru