Firefoxi arendajad DNS-i HTTPS-i (DoH, DNS üle HTTPS-i) režiimi lubamise kohta USA kasutajatele vaikimisi. DNS-liikluse krüptimist peetakse kasutajate kaitsmisel põhimõtteliselt oluliseks teguriks. Alates tänasest on kõigi USA kasutajate uute installide puhul DoH vaikimisi lubatud. Olemasolevad USA kasutajad viiakse mõne nädala jooksul DoH-le üle. Euroopa Liidus ja teistes riikides aktiveerige praegu vaikimisi DoH .
Pärast DoH aktiveerimist kuvatakse kasutajale hoiatus, mis võimaldab soovi korral keelduda tsentraliseeritud DoH DNS-serveritega ühenduse võtmisest ja naasta teenusepakkuja DNS-serverisse krüpteerimata päringute saatmise traditsioonilise skeemi juurde. DNS-i lahendajate hajutatud infrastruktuuri asemel kasutab DoH sidumist konkreetse DoH-teenusega, mida võib pidada üheks tõrkepunktiks. Praegu pakutakse tööd kahe DNS-i pakkuja kaudu – CloudFlare (vaikimisi) ja .
Vahetage teenusepakkujat või keelake DoH võrguühenduse seadetes. Näiteks saate Google'i serveritele juurdepääsuks määrata alternatiivse DoH-serveri „https://dns.google/dns-query”, „https://dns.quad9.net/dns-query” – Quad9 ja „https:/ /doh .opendns.com/dns-query" – OpenDNS. About:config pakub ka sätet network.trr.mode, mille kaudu saate muuta DoH töörežiimi: väärtus 0 keelab DoH täielikult; 1 – kasutatakse DNS-i või DoH-d, olenevalt sellest, kumb on kiirem; 2 - vaikimisi kasutatakse DoH-d ja DNS-i kasutatakse varuvalikuna; 3 - kasutatakse ainult DoH-d; 4 - peegeldamisrežiim, milles DoH-d ja DNS-i kasutatakse paralleelselt.
Tuletagem meelde, et DoH võib olla kasulik taotletud hostinimede teabelekke ärahoidmiseks pakkujate DNS-serverite kaudu, MITM-i rünnakute ja DNS-i liikluse võltsimise vastu võitlemiseks (näiteks avaliku Wi-Fi-ga ühenduse loomisel), DNS-i blokeerimise vastu võitlemiseks. tasemel (DoH ei saa asendada VPN-i DPI tasemel rakendatud blokeerimisest möödahiilimise valdkonnas) või töö korraldamiseks, kui DNS-serveritele pole otsene juurdepääs (näiteks puhverserveri kaudu töötades). Kui tavaolukorras saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritele, siis DoH-i puhul kapseldatakse hosti IP-aadressi määramise päring HTTPS-liiklusse ja saadetakse HTTP-serverisse, kus lahendaja töötleb. päringuid veebi API kaudu. Olemasolev DNSSEC-standard kasutab krüptimist ainult kliendi ja serveri autentimiseks, kuid ei kaitse liiklust pealtkuulamise eest ega garanteeri päringute konfidentsiaalsust.
Firefoxis pakutavate DoH pakkujate valimiseks usaldusväärsetele DNS-i lahendajatele, mille kohaselt saab DNS-i operaator kasutada lahendamiseks saadud andmeid ainult teenuse toimimise tagamiseks, ei tohi salvestada logisid kauem kui 24 tundi, ei tohi edastada andmeid kolmandatele isikutele ning on kohustatud avalikustama teavet andmetöötlusmeetodid. Samuti peab teenus nõustuma mitte tsenseerima, filtreerima, segama ega blokeerima DNS-liiklust, välja arvatud seaduses sätestatud juhtudel.
DoH-d tuleb kasutada ettevaatusega. Näiteks Vene Föderatsioonis on Firefoxis pakutava DoH vaikeserveriga mozilla.cloudflare-dns.com seotud IP-aadressid 104.16.248.249 ja 104.16.249.249, в Stavropoli kohtu 10.06.2013. juuni XNUMX taotlusel.
DoH võib põhjustada probleeme ka sellistes valdkondades nagu vanemliku kontrolli süsteemid, juurdepääs ettevõtte süsteemide sisemistele nimeruumidele, marsruudi valimine sisu edastamise optimeerimissüsteemides ning kohtumääruste täitmine ebaseadusliku sisu levitamise ja ärakasutamise vastu võitlemisel. alaealised. Sellistest probleemidest kõrvalehoidmiseks on juurutatud ja testitud kontrollsüsteem, mis teatud tingimustel automaatselt keelab DoH.
Ettevõtte lahendajate tuvastamiseks kontrollitakse ebatüüpilisi esimese taseme domeene (TLD) ja süsteemi lahendaja tagastab sisevõrgu aadressid. Et teha kindlaks, kas vanemlik järelevalve on lubatud, proovitakse lahendada nimi exampleadultsite.com ja kui tulemus ei vasta tegelikule IP-le, loetakse, et täiskasvanutele mõeldud sisu blokeerimine on DNS-i tasemel aktiivne. Google'i ja YouTube'i IP-aadresse kontrollitakse ka märkidena, et näha, kas need on asendatud aadressidega limited.youtube.com, forcesafesearch.google.com ja limitedmoderate.youtube.com. Need kontrollid võimaldavad ründajatel, kes juhivad lahendaja tööd või on võimelised liiklust segama, sellist käitumist simuleerida, et keelata DNS-liikluse krüpteerimine.
Ühe DoH-teenuse kaudu töötamine võib potentsiaalselt põhjustada probleeme liikluse optimeerimisega sisuedastusvõrkudes, mis tasakaalustavad liiklust DNS-i abil (CDN-võrgu DNS-server genereerib vastuse, võttes arvesse lahendaja aadressi ja pakub sisu vastuvõtmiseks lähima hosti). DNS-päringu saatmisel kasutajale lähimast lahendajast sellistes CDN-ides tagastatakse kasutajale lähima hosti aadress, kuid DNS-päringu saatmine tsentraliseeritud lahendajast tagastab DNS-üle-HTTPS-serverile lähima hostiaadressi. . Praktikas testimine näitas, et DNS-üle-HTTP kasutamine CDN-i kasutamisel ei toonud praktiliselt mingeid viivitusi enne sisu edastamise algust (kiirete ühenduste korral ei ületanud viivitused 10 millisekundit ja aeglastel sidekanalitel täheldati veelgi kiiremat jõudlust ). EDNS-i kliendi alamvõrgu laienduse kasutamist peeti ka kliendi asukohateabe edastamiseks CDN-i lahendajale.
Allikas: opennet.ru