Desarrolladores de Firefox sobre la finalización de las pruebas de soporte para DNS sobre HTTPS (DoH, DNS sobre HTTPS) y la intención de habilitar esta tecnología de forma predeterminada para los usuarios de EE. UU. a finales de septiembre. La activación se realizará de forma progresiva, inicialmente para un pequeño por ciento de usuarios, y si no hay problemas, aumentando progresivamente hasta el 100%. Una vez que los EE. UU. estén cubiertos, se considerará la inclusión del DoH en otros países.
Las pruebas realizadas a lo largo del año demostraron la confiabilidad y el buen desempeño del servicio, y también permitieron identificar algunas situaciones en las que DoH puede generar problemas y desarrollar soluciones para evitarlos (por ejemplo, desmontaje con optimización del tráfico en redes de distribución de contenidos, controles parentales y zonas DNS internas corporativas).
La importancia de cifrar el tráfico DNS se considera un factor de fundamental importancia para proteger a los usuarios, por lo que se decidió habilitar DoH de forma predeterminada, pero en una primera etapa solo para usuarios de Estados Unidos. Después de activar DoH, el usuario recibirá una advertencia que le permitirá, si lo desea, negarse a contactar con los servidores DNS centralizados de DoH y volver al esquema tradicional de enviar solicitudes no cifradas al servidor DNS del proveedor (en lugar de una infraestructura distribuida de solucionadores de DNS, DoH utiliza el enlace a un servicio DoH específico, que puede considerarse un punto único de falla).
Si se activa DoH, los sistemas de control parental y las redes corporativas que utilizan la estructura de nombres DNS de red interna únicamente para resolver direcciones de intranet y hosts corporativos pueden verse afectados. Para resolver problemas con dichos sistemas, se ha agregado un sistema de controles que desactiva automáticamente el DoH. Las comprobaciones se realizan cada vez que se inicia el navegador o cuando se detecta un cambio de subred.
También se proporciona un retorno automático al uso del solucionador del sistema operativo estándar si se producen fallas durante la resolución a través de DoH (por ejemplo, si se interrumpe la disponibilidad de la red con el proveedor de DoH o se producen fallas en su infraestructura). El significado de tales controles es cuestionable, ya que nadie impide que los atacantes que controlan el funcionamiento del solucionador o que son capaces de interferir con el tráfico simulen un comportamiento similar para desactivar el cifrado del tráfico DNS. El problema se resolvió agregando el elemento "DoH siempre" a la configuración (silenciosamente inactivo); cuando está configurado, no se aplica el apagado automático, lo cual es un compromiso razonable.
Para identificar los solucionadores empresariales, se verifican los dominios de primer nivel (TLD) atípicos y el solucionador del sistema devuelve direcciones de intranet. Para determinar si los controles parentales están habilitados, se intenta resolver el nombre exampleadultsite.com y si el resultado no coincide con la IP real, se considera que el bloqueo de contenido para adultos está activo a nivel de DNS. Las direcciones IP de Google y YouTube también se verifican como señales para ver si han sido reemplazadas por restrict.youtube.com, forcesafesearch.google.com y restrictmoderate.youtube.com. Mozilla adicional implementar un único host de prueba , que los ISP y los servicios de control parental pueden utilizar como indicador para desactivar DoH (si no se detecta el host, Firefox desactiva DoH).
Trabajar a través de un único servicio DoH también puede generar problemas con la optimización del tráfico en las redes de entrega de contenido que equilibran el tráfico mediante DNS (el servidor DNS de la red CDN genera una respuesta teniendo en cuenta la dirección de resolución y proporciona el host más cercano para recibir el contenido). Enviar una consulta de DNS desde el solucionador más cercano al usuario en dichas CDN da como resultado que se devuelva la dirección del host más cercano al usuario, pero enviar una consulta de DNS desde un solucionador centralizado devolverá la dirección del host más cercana al servidor DNS sobre HTTPS. . Las pruebas en la práctica mostraron que el uso de DNS sobre HTTP cuando se utiliza una CDN prácticamente no provocó retrasos antes del inicio de la transferencia de contenido (para conexiones rápidas, los retrasos no superaron los 10 milisegundos, y se observó un rendimiento aún más rápido en canales de comunicación lentos). ). También se consideró el uso de la extensión EDNS Client Subnet para proporcionar información de ubicación del cliente al solucionador CDN.
Recordemos que DoH puede resultar útil para prevenir la filtración de información sobre los nombres de host solicitados a través de los servidores DNS de los proveedores, combatir los ataques MITM y la suplantación del tráfico DNS, contrarrestar el bloqueo a nivel de DNS o para organizar el trabajo en caso de que Es imposible acceder directamente a los servidores DNS (por ejemplo, cuando se trabaja a través de un proxy). Si en una situación normal las solicitudes DNS se envían directamente a los servidores DNS definidos en la configuración del sistema, entonces, en el caso de DoH, la solicitud para determinar la dirección IP del host se encapsula en el tráfico HTTPS y se envía al servidor HTTP, donde el solucionador procesa solicitudes a través de la API web. El estándar DNSSEC existente utiliza cifrado sólo para autenticar al cliente y al servidor, pero no protege el tráfico contra la interceptación y no garantiza la confidencialidad de las solicitudes.
Para habilitar DoH en about:config, debe cambiar el valor de la variable network.trr.mode, que ha sido compatible desde Firefox 60. Un valor de 0 deshabilita DoH por completo; 1 - Se utiliza DNS o DoH, lo que sea más rápido; 2: DoH se utiliza de forma predeterminada y DNS se utiliza como opción alternativa; 3 - sólo se utiliza DoH; 4 - modo de duplicación en el que se utilizan DoH y DNS en paralelo. De forma predeterminada, se utiliza el servidor DNS de CloudFlare, pero se puede cambiar a través del parámetro network.trr.uri, por ejemplo, puede configurar "https://dns.google.com/experimental" o "https://9.9.9.9 .XNUMX/dns-consulta "
Fuente: opennet.ru