Firefoxi arendajad HTTPS-i kaudu DNS-i testimise (DoH, DNS üle HTTPS) testimise lõpuleviimisest ja kavatsusest lubada see tehnoloogia septembri lõpus USA kasutajatele vaikimisi. Aktiveerimine toimub järk-järgult, esialgu mõne protsendi kasutajate puhul ja kui probleeme ei esine, siis järk-järgult 100%-ni. Kui USA on hõlmatud, kaalutakse DoH kaasamist teistesse riikidesse.
Aasta jooksul tehtud testid näitasid teenuse usaldusväärsust ja head toimivust ning võimaldasid tuvastada mõningaid olukordi, kus DoH võib põhjustada probleeme ja töötada välja lahendused nendest möödahiilimiseks (näiteks lahtivõetud liikluse optimeerimisega sisuedastusvõrkudes, vanemliku kontrolli ja ettevõtte sisemiste DNS-tsoonide puhul).
DNS-liikluse krüptimise olulisust hinnatakse kasutajate kaitsmisel põhimõtteliselt oluliseks teguriks, mistõttu otsustati DoH vaikimisi lubada, kuid esimeses etapis ainult Ameerika Ühendriikidest pärit kasutajatele. Pärast DoH aktiveerimist saab kasutaja hoiatuse, mis võimaldab soovi korral keelduda tsentraliseeritud DoH DNS-serveritega ühenduse võtmisest ja naasta teenusepakkuja DNS-serverisse krüpteerimata päringute saatmise traditsioonilise skeemi juurde (DNS-i lahendajate hajutatud infrastruktuuri asemel, DoH kasutab sidumist konkreetse DoH teenusega , mida võib pidada üheks tõrkepunktiks).
Kui DoH on aktiveeritud, võivad vanemliku järelevalve süsteemid ja ettevõtte võrgud, mis kasutavad sisevõrgu aadresside ja ettevõtte hostide lahendamiseks ainult sisevõrgu DNS-i nimestruktuuri, olla häiritud. Selliste süsteemidega seotud probleemide lahendamiseks on lisatud kontrollisüsteem, mis keelab automaatselt DoH. Kontrollitakse iga kord, kui brauser käivitatakse või alamvõrgu muudatus tuvastatakse.
Automaatne naasmine standardse operatsioonisüsteemi lahendaja kasutamise juurde on tagatud ka siis, kui DoH kaudu lahendamisel ilmnevad tõrked (näiteks kui võrgu kättesaadavus DoH pakkujaga on häiritud või selle infrastruktuuris ilmnevad tõrked). Selliste kontrollide tähendus on küsitav, kuna keegi ei takista ründajatel, kes juhivad lahendaja tööd või on võimelised liiklust segama, simuleerimast sarnast käitumist DNS-liikluse krüptimise keelamiseks. Probleem lahendati, lisades seadetesse elemendi “DoH always” (vaikselt inaktiivne), kui see on määratud, siis automaatset väljalülitamist ei rakendata, mis on mõistlik kompromiss.
Ettevõtte lahendajate tuvastamiseks kontrollitakse ebatüüpilisi esimese taseme domeene (TLD) ja süsteemi lahendaja tagastab sisevõrgu aadressid. Et teha kindlaks, kas vanemlik järelevalve on lubatud, proovitakse lahendada nimi exampleadultsite.com ja kui tulemus ei vasta tegelikule IP-le, loetakse, et täiskasvanutele mõeldud sisu blokeerimine on DNS-i tasemel aktiivne. Google'i ja YouTube'i IP-aadresse kontrollitakse ka märkidena, et näha, kas need on asendatud aadressidega limited.youtube.com, forcesafesearch.google.com ja limitedmoderate.youtube.com. Täiendav Mozilla juurutada üks testhosti , mida Interneti-teenuse pakkujad ja vanemliku järelevalve teenused saavad kasutada lipuna DoH keelamiseks (kui hosti ei tuvastata, keelab Firefox DoH).
Ühe DoH-teenuse kaudu töötamine võib potentsiaalselt põhjustada probleeme liikluse optimeerimisega sisuedastusvõrkudes, mis tasakaalustavad liiklust DNS-i abil (CDN-võrgu DNS-server genereerib vastuse, võttes arvesse lahendaja aadressi ja pakub sisu vastuvõtmiseks lähima hosti). DNS-päringu saatmisel kasutajale lähimast lahendajast sellistes CDN-ides tagastatakse kasutajale lähima hosti aadress, kuid DNS-päringu saatmine tsentraliseeritud lahendajast tagastab DNS-üle-HTTPS-serverile lähima hostiaadressi. . Praktikas testimine näitas, et DNS-üle-HTTP kasutamine CDN-i kasutamisel ei toonud praktiliselt mingeid viivitusi enne sisu edastamise algust (kiirete ühenduste korral ei ületanud viivitused 10 millisekundit ja aeglastel sidekanalitel täheldati veelgi kiiremat jõudlust ). EDNS-i kliendi alamvõrgu laienduse kasutamist peeti ka kliendi asukohateabe edastamiseks CDN-i lahendajale.
Tuletagem meelde, et DoH võib olla kasulik nõutud hostinimede teabelekke vältimiseks pakkujate DNS-serverite kaudu, MITM-i rünnakute ja DNS-liikluse võltsimise vastu võitlemisel, DNS-i tasemel blokeerimise vastu võitlemisel või töö korraldamisel juhul, kui see DNS-serveritele pole võimalik otse juurde pääseda (näiteks puhverserveri kaudu töötades). Kui tavaolukorras saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritele, siis DoH-i puhul kapseldatakse hosti IP-aadressi määramise päring HTTPS-liiklusse ja saadetakse HTTP-serverisse, kus lahendaja töötleb. päringuid veebi API kaudu. Olemasolev DNSSEC-standard kasutab krüptimist ainult kliendi ja serveri autentimiseks, kuid ei kaitse liiklust pealtkuulamise eest ega garanteeri päringute konfidentsiaalsust.
DoH lubamiseks rakenduses about:config peate muutma muutuja network.trr.mode väärtust, mida on toetatud alates versioonist Firefox 60. Väärtus 0 keelab DoH täielikult; 1 – kasutatakse DNS-i või DoH-d, olenevalt sellest, kumb on kiirem; 2 - vaikimisi kasutatakse DoH-d ja DNS-i kasutatakse varuvalikuna; 3 - kasutatakse ainult DoH-d; 4 - peegeldamisrežiim, milles DoH-d ja DNS-i kasutatakse paralleelselt. Vaikimisi kasutatakse CloudFlare DNS-serverit, kuid seda saab muuta parameetri network.trr.uri kaudu, näiteks saate määrata "https://dns.google.com/experimental" või "https://9.9.9.9 .XNUMX/dns-päring "
Allikas: opennet.ru