Προγραμματιστές Firefox σχετικά με την ολοκλήρωση της υποστήριξης δοκιμών για DNS μέσω HTTPS (DoH, DNS μέσω HTTPS) και την πρόθεση να ενεργοποιηθεί αυτή η τεχνολογία από προεπιλογή για τους χρήστες των ΗΠΑ στα τέλη Σεπτεμβρίου. Η ενεργοποίηση θα πραγματοποιηθεί σταδιακά, αρχικά για λίγο τοις εκατό των χρηστών, και εάν δεν υπάρχουν προβλήματα, θα αυξηθεί σταδιακά στο 100%. Μόλις καλυφθούν οι ΗΠΑ, το DoH θα εξεταστεί για συμπερίληψη σε άλλες χώρες.
Οι δοκιμές που πραγματοποιήθηκαν καθ' όλη τη διάρκεια του έτους έδειξαν την αξιοπιστία και την καλή απόδοση της υπηρεσίας και επίσης κατέστησαν δυνατό τον εντοπισμό ορισμένων καταστάσεων όπου το DoH μπορεί να οδηγήσει σε προβλήματα και την ανάπτυξη λύσεων για την παράκαμψή τους (για παράδειγμα, αποσυναρμολόγηση με βελτιστοποίηση επισκεψιμότητας σε δίκτυα παράδοσης περιεχομένου, γονικούς ελέγχους και εταιρικές εσωτερικές ζώνες DNS).
Η σημασία της κρυπτογράφησης της κυκλοφορίας DNS εκτιμάται ως ένας θεμελιωδώς σημαντικός παράγοντας για την προστασία των χρηστών, γι' αυτό αποφασίστηκε να ενεργοποιηθεί το DoH από προεπιλογή, αλλά στο πρώτο στάδιο μόνο για χρήστες από τις Ηνωμένες Πολιτείες. Μετά την ενεργοποίηση του DoH, ο χρήστης θα λάβει μια προειδοποίηση που θα επιτρέψει, εάν το επιθυμεί, να αρνηθεί να επικοινωνήσει με κεντρικούς διακομιστές DoH DNS και να επιστρέψει στο παραδοσιακό σχήμα αποστολής μη κρυπτογραφημένων αιτημάτων στον διακομιστή DNS του παρόχου (αντί για μια κατανεμημένη υποδομή αναλυτών DNS, Το DoH χρησιμοποιεί δέσμευση σε μια συγκεκριμένη υπηρεσία DoH , η οποία μπορεί να θεωρηθεί ως ένα μόνο σημείο αποτυχίας).
Εάν είναι ενεργοποιημένο το DoH, τα συστήματα γονικού ελέγχου και τα εταιρικά δίκτυα που χρησιμοποιούν τη δομή ονόματος DNS μόνο για εσωτερικό δίκτυο για την επίλυση διευθύνσεων intranet και εταιρικών κεντρικών υπολογιστών ενδέχεται να διαταραχθούν. Για την επίλυση προβλημάτων με τέτοια συστήματα, έχει προστεθεί ένα σύστημα ελέγχου που απενεργοποιεί αυτόματα το DoH. Οι έλεγχοι εκτελούνται κάθε φορά που εκκινείται το πρόγραμμα περιήγησης ή όταν εντοπίζεται αλλαγή υποδικτύου.
Παρέχεται επίσης αυτόματη επιστροφή στη χρήση του τυπικού προγράμματος επίλυσης λειτουργικού συστήματος εάν προκύψουν αστοχίες κατά την επίλυση μέσω DoH (για παράδειγμα, εάν διακοπεί η διαθεσιμότητα του δικτύου με τον πάροχο DoH ή προκύψουν αστοχίες στην υποδομή του). Το νόημα τέτοιων ελέγχων είναι αμφίβολο, καθώς κανείς δεν εμποδίζει τους εισβολείς που ελέγχουν τη λειτουργία του προγράμματος επίλυσης ή είναι ικανοί να παρεμβαίνουν στην κυκλοφορία από το να προσομοιώσουν παρόμοια συμπεριφορά για να απενεργοποιήσουν την κρυπτογράφηση της κυκλοφορίας DNS. Το πρόβλημα επιλύθηκε με την προσθήκη του στοιχείου "DoH πάντα" στις ρυθμίσεις (σιωπηλά ανενεργό), όταν έχει οριστεί, δεν εφαρμόζεται αυτόματος τερματισμός λειτουργίας, κάτι που είναι ένας εύλογος συμβιβασμός.
Για τον εντοπισμό εταιρικών λύσεων, ελέγχονται οι άτυποι τομείς πρώτου επιπέδου (TLD) και το πρόγραμμα επίλυσης συστήματος επιστρέφει διευθύνσεις intranet. Για να προσδιοριστεί εάν είναι ενεργοποιημένοι οι γονικοί έλεγχοι, γίνεται προσπάθεια επίλυσης του ονόματος exampleadultsite.com και εάν το αποτέλεσμα δεν ταιριάζει με την πραγματική IP, θεωρείται ότι ο αποκλεισμός περιεχομένου για ενηλίκους είναι ενεργός σε επίπεδο DNS. Οι διευθύνσεις IP της Google και του YouTube ελέγχονται επίσης ως πινακίδες για να διαπιστωθεί εάν έχουν αντικατασταθεί από τα limited.youtube.com, forceafesearch.google.com και limitedmoderate.youtube.com. Πρόσθετο Mozilla εφαρμόστε έναν ενιαίο δοκιμαστικό κεντρικό υπολογιστή , το οποίο οι ISP και οι υπηρεσίες γονικού ελέγχου μπορούν να χρησιμοποιήσουν ως σημαία για να απενεργοποιήσουν το DoH (εάν ο κεντρικός υπολογιστής δεν εντοπιστεί, ο Firefox απενεργοποιεί το DoH).
Η εργασία μέσω μιας μεμονωμένης υπηρεσίας DoH μπορεί επίσης να οδηγήσει σε προβλήματα με τη βελτιστοποίηση της κυκλοφορίας σε δίκτυα παράδοσης περιεχομένου που εξισορροπούν την κίνηση χρησιμοποιώντας DNS (ο διακομιστής DNS του δικτύου CDN δημιουργεί μια απόκριση λαμβάνοντας υπόψη τη διεύθυνση επίλυσης και παρέχει τον πλησιέστερο κεντρικό υπολογιστή για λήψη του περιεχομένου). Η αποστολή ενός ερωτήματος DNS από τον επιλύτη που βρίσκεται πλησιέστερα στον χρήστη σε τέτοια CDN έχει ως αποτέλεσμα την επιστροφή της διεύθυνσης του πλησιέστερου κεντρικού υπολογιστή στον χρήστη, αλλά η αποστολή ενός ερωτήματος DNS από ένα κεντρικό πρόγραμμα επίλυσης θα επιστρέψει τη διεύθυνση κεντρικού υπολογιστή που βρίσκεται πλησιέστερα στον διακομιστή DNS-over-HTTPS . Η δοκιμή στην πράξη έδειξε ότι η χρήση του DNS-over-HTTP κατά τη χρήση ενός CDN οδήγησε σε ουσιαστικά καμία καθυστέρηση πριν από την έναρξη της μεταφοράς περιεχομένου (για γρήγορες συνδέσεις, οι καθυστερήσεις δεν ξεπέρασαν τα 10 χιλιοστά του δευτερολέπτου και ακόμη πιο γρήγορη απόδοση παρατηρήθηκε σε αργά κανάλια επικοινωνίας ). Η χρήση της επέκτασης υποδικτύου πελάτη EDNS θεωρήθηκε επίσης ότι παρέχει πληροφορίες τοποθεσίας πελάτη στο πρόγραμμα επίλυσης CDN.
Ας υπενθυμίσουμε ότι το DoH μπορεί να είναι χρήσιμο για την αποτροπή διαρροών πληροφοριών σχετικά με τα ονόματα κεντρικών υπολογιστών που ζητούνται μέσω των διακομιστών DNS των παρόχων, την καταπολέμηση επιθέσεων MITM και την πλαστογράφηση της κυκλοφορίας DNS, την αντιμετώπιση του αποκλεισμού σε επίπεδο DNS ή για την οργάνωση εργασίας σε περίπτωση που είναι αδύνατη η άμεση πρόσβαση σε διακομιστές DNS (για παράδειγμα, όταν εργάζεστε μέσω διακομιστή μεσολάβησης). Εάν σε μια κανονική κατάσταση τα αιτήματα DNS αποστέλλονται απευθείας σε διακομιστές DNS που ορίζονται στη διαμόρφωση του συστήματος, τότε στην περίπτωση του DoH, το αίτημα για τον προσδιορισμό της διεύθυνσης IP του κεντρικού υπολογιστή ενσωματώνεται στην κυκλοφορία HTTPS και αποστέλλεται στον διακομιστή HTTP, όπου επεξεργάζεται ο επιλύτης αιτήματα μέσω του Web API. Το υπάρχον πρότυπο DNSSEC χρησιμοποιεί κρυπτογράφηση μόνο για τον έλεγχο ταυτότητας του πελάτη και του διακομιστή, αλλά δεν προστατεύει την κυκλοφορία από την παρακολούθηση και δεν εγγυάται την εμπιστευτικότητα των αιτημάτων.
Για να ενεργοποιήσετε το DoH στο about:config, πρέπει να αλλάξετε την τιμή της μεταβλητής network.trr.mode, η οποία υποστηρίζεται από το Firefox 60. Η τιμή 0 απενεργοποιεί πλήρως το DoH. 1 - Χρησιμοποιείται DNS ή DoH, όποιο είναι ταχύτερο. 2 - Το DoH χρησιμοποιείται από προεπιλογή και το DNS χρησιμοποιείται ως εναλλακτική επιλογή. 3 - χρησιμοποιείται μόνο DoH. 4 - λειτουργία κατοπτρισμού στην οποία χρησιμοποιούνται παράλληλα DoH και DNS. Από προεπιλογή, χρησιμοποιείται ο διακομιστής CloudFlare DNS, αλλά μπορεί να αλλάξει μέσω της παραμέτρου network.trr.uri, για παράδειγμα, μπορείτε να ορίσετε "https://dns.google.com/experimental" ή "https://9.9.9.9 .XNUMX/dns-query "
Πηγή: opennet.ru